SERVER用に構成されたRSA証明書には、サーバー名と一致するIDが含まれていません

28

最近、LAMPサーバー（すべての最新バージョン）とWordPressを起動しました。最近購入したSSL証明書をインストールしようとしています。再起動するとapachectl、error_logから次のメッセージが表示されます。

[Tue Feb 25 01:07:14.744222 2014] [mpm_prefork:notice] [pid 1744] AH00169: caught SIGTERM, shutting down
[Tue Feb 25 01:07:17.135704 2014] [suexec:notice] [pid 1765] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Feb 25 01:07:17.217424 2014] [auth_digest:notice] [pid 1766] AH01757: generating secret for digest authentication ...
[Tue Feb 25 01:07:17.218686 2014] [lbmethod_heartbeat:notice] [pid 1766] AH02282: No slotmem from mod_heartmonitor
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib64/php/5.5/modules/mysql.so' - /usr/lib64/php/5.5/modules/mysql.so: cannot open shared object file: No such file or directory in Unknown on line 0
PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib64/php/5.5/modules/mysqli.so' - /usr/lib64/php/5.5/modules/mysqli.so: cannot open shared object file: No such file or directory in Unknown on line 0
[Tue Feb 25 01:07:17.305292 2014] [mpm_prefork:notice] [pid 1766] AH00163: Apache/2.4.6 (Amazon) OpenSSL/1.0.1e-fips PHP/5.5.7 configured -- resuming normal operations
[Tue Feb 25 01:07:17.305378 2014] [core:notice] [pid 1766] AH00094: Command line: '/usr/sbin/httpd'

ssl_error_logはこれを私に与えますが：

[Tue Feb 25 00:57:15.802287 2014] [ssl:warn] [pid 1705] AH01909: RSA certificate configured for ec2-XX-XXX-XXX-XX.compute-1.amazonaws.com:443 does NOT include an ID which matches the server name
[Tue Feb 25 00:57:15.899327 2014] [ssl:warn] [pid 1706] AH01909: RSA certificate configured for ec2-XX-XXX-XXX-XX.compute-1.amazonaws.com:443 does NOT include an ID which matches the server name

「ServerName」をssl.confサーバー名（dcturano.com）に変更して再起動しましたがapachectl、このエラーが発生します。なぜアイデアがありますか？

余談ですが、サーバーのCommonNameを設定していませんが、それが問題になる可能性がありますか？

— 日食
ソース

45

openssl x509 -in server.crt -noout -subject

証明書のCNを返す必要があります。これは、ServerNameディレクティブで使用して接続する必要がある名前です。

— 4倍バッキー
ソース

＃openssl x509 -in server.crt -noout -subject証明書server.crtを開く際のエラー140451499632288：error：02001002：system library：fopen：No such file or directory：bss_file.c：398：fopen（ 'server.crt'、 ' R '）140451499632288：エラー：20074002：BIOルーチン：FILE_CTRL：システムのlib：bss_file.c：400：ロード証明書にできない

— jmituzas

1

@jmituzasは、あなたが変更してくださいserver.crtにopenssl x509 -in server.crt -noout -subjectあなたをserver.crtの配置へ

— avivmg

4

事実上、すべてのパブリックCAは現在、SubjectAlternativeName拡張子を持つ証明書を発行し、その拡張子内の任意の名前またはすべての名前（またはワイルドカードに一致する任意の名前）を使用できます。OpenSSLはSANを単独で表示しませんが、次のようなことができますopenssl x509 -in cert -text | grep -A1 "Subject Alternative Name"

— -dave_thompson_085

1

また、仮想ホストのアドレスを設定するだけでなく、ServerNameディレクティブを追加することを確認してください（私の場合は問題になっています）。

— hugovdberg

それはトリックをしました。localhostのsudo openssl x509 -in /etc/ssl/certs/server.crt -noout -subjectようServerName localhostに出力からCN値をコピーしましたsudo nano /etc/httpd/conf.d/ssl.conf。VagrantでCentOS 7を使用しています。

— ダモダールバシャール

2

あるいは、私のようにsslを使用していなくても、sslの使用はデフォルトでオンになっているため、このエラーメッセージが表示されます。その場合は、オフにしてください！ここからの抜粋ですconfig.d/ssl.conf：

#   SSL Engine Switch:
#   Enable/Disable SSL for this virtual host.
#SSLEngine on
SSLEngine off

— リチャード・T
ソース

7

質問は彼が証明書を購入したと明示的に述べているため、あなたの答えを評価しました。私は通常、使用するつもりのないものを購入しません。

— hugovdberg

2

私は同じ問題を抱えていましたが、それは別の理由によるものでした。将来のGoogleユーザーのためにここに投稿します。

私のapache2設定ファイルで、<VirtualHost *:443>持っていた代わりに、私は持っていました<VirtualHost *:80>。私がそれを修正するとすぐに、サイトはバックアップして稼働しました。

— AliBZ
ソース

1

私は自分の/etc/hostsファイルを通してこの問題を引き起こしました。

仮想ホストがありました。www.effinwhatever.comと呼びましょう。

サーバーのホスト名はwww2でした。

/etc/hosts仮想ホストに対してものをカールできるように、次の行を追加しました。

192.168.1.200         www.effinwhatever.com

その行をから削除するとすぐ/etc/hostsに、Apacheサーバーが再び正常に機能し始めました（サービスを再起動しました）。奇妙な。

SSL証明書がワイルドカードドメイン用であることも関連する場合があります。

— ジェームズ・T・スネル
ソース

0

同じAH01909：RSA証明書エラーが発生しました。私の場合、正しいserverName値がありました。

エラーの原因は<VirtualHost 10.11.12.13:443>、安全なサイトの定義内の誤ったIPアドレスでした。入力ミスしました！

— ドリュー
ソース

-1

ServerNameがopenssl x509 -in server.crt -noout -subject出力とまったく同じであることを確認してください。wwwがある場合、ServerNameも必要です。そうでない場合、ServerNameはwwwを削除する必要があります。

— エクセ
ソース