38 votos

Error de SSL - no se puede leer el certificado de servidor de archivo

He sido la configuración de SSL para el dominio de hoy, y han golpeado a otro problema - estaba esperando que alguien podría arrojar algo de luz sobre..

Sigo recibiendo los mensajes de error siguientes:

[error] Init: no se puede leer el certificado de servidor de archivo /etc/apache2/dominio.com.ssl/dominio.com.crt/dominio.com.crt
[error] SSL Biblioteca de Error: 218529960 de error:0D0680A8:asn1 rutinas de codificación:ASN1_CHECK_TLEN:mal etiqueta
[error] SSL Biblioteca de Error: 218595386 de error:0D07803A:asn1 rutinas de codificación:ASN1_ITEM_EX_D2I:anidados asn1 error

Estoy corriendo Apache 2.2.16 y Ubuntu 10.10. Mi .crt archivo tiene el comienzo y el Final de las etiquetas, y ha sido copiado exactamente desde el correo electrónico de confirmación que recibió, muy frustrante!

Saludos!

Edición >> Cuando intenta comprobar el .crt no parece funcionar:

>> openssl x509-noout-texto-en el dominio.com.crt 
no se puede cargar el certificado
16851:error:0906D06C:PEM rutinas:PEM_read_bio:no hay línea de salida:pem_lib.c:650:Esperando: CERTIFICADO de CONFIANZA

También >>

>> openssl x509-texto-informar PEM-en el dominio.com.crt
no se puede cargar el certificado
21321:error:0906D06C:PEM rutinas:PEM_read_bio:no hay línea de salida:pem_lib.c:650:Esperando: CERTIFICADO de CONFIANZA
>> openssl x509-texto-informar DER-en el dominio.com.crt
no se puede cargar el certificado
21325:error:0D0680A8:asn1 rutinas de codificación:ASN1_CHECK_TLEN:mal de la etiqueta:tasn_dec.c:1316:
21325:error:0D07803A:asn1 rutinas de codificación:ASN1_ITEM_EX_D2I:anidados asn1 de error:tasn_dec.c:380:Type=X509

Edición>> (Saludos para la ayuda por el camino)

>> grep' ^ -----' dominio.com.crt
-----BEGIN CERTIFICATE-----
-----CERTIFICADO FINAL-----

Sólo por correo electrónico de la empresa que proporciona el Certificado, respondieron>

He comprobado el archivo CSR que usted ha proporcionado y les puedo asegurar que este se genera correctamente. El error que se encuentra actualmente encontrando es causado debido a que usted está utilizando una línea de comandos para mal la instalación de la RSE. Usted tendrá que modificar este dominio.com.crt de su línea de comandos con el nombre de su dominio.

  • actualmente la crt está configurado para mysite.com.crt - he usado de dominio.com.crt como un ejemplo

51voto

MadHatter Puntos 44059

Es posible que las líneas son ^M-terminado? Este es un problema potencial al mover archivos de Windows para sistemas UNIX. Una manera fácil de comprobar es el uso de vi en "show me the binario en el modo", con vi -b /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt.

Si cada línea termina con un control-M, como este

-----BEGIN CERTIFICATE-----^M
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg^M
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wOTEyMTgwMDAwMDBaFw0x^M

tienes un archivo en Windows de línea terminada en el formato, y el apache no ama a aquellos.

Sus opciones incluyen mover el archivo otra vez, teniendo más cuidado; o el uso de la dos2unix comando para despojar a los de fuera; también se puede quitar de ellos en el interior vi, si tienes cuidado.

12voto

quanta Puntos 31979
>> openssl x509 -noout -text -in domain.com.crt 
unable to load certificate
16851:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE

Sospecho que tienes un problema con el formato del certificado.

Ejecutar dos comandos siguientes y nos dan la salida:

openssl x509 -text -inform DER -in domain.com.crt 
openssl x509 -text -inform PEM -in domain.com.crt 

10voto

Scott Davey Puntos 161

En mi caso, me encontré con mi certificado de diferentes "-" caracteres. Debe haber sido un copiar/pegar el problema de la administración que realizó el cert en el servidor, con el editor de texto reemplazar -- con un carácter unicode especial a lo largo del camino.

Este tomó horas para diagnosticar y, en fin, yo sólo adivinaba en ella, y editado el cert en la vi y eliminar los existentes "-" caracteres, y dactilografía.

Espero que esto ayude a alguien.

4voto

George Tasioulis Puntos 1423

Asegúrate de que tu archivo no tiene espacios al principio o final dentro del archivo de certificado. Asegúrese bien de que no hay espacios o espacios en blanco dentro de su archivo de certificado, seleccionando todo el texto y buscando los espacios en blanco en un texto único editor.

Compruebe también si, de hecho, todos la configuración de los archivos que existen y son correctos.

Por ejemplo: en el otro post dices que tu .clave del archivo es el nombre *mi*dominio.com.crt, mientras que en el vhost de configuración de dominio.com.crt

SSLCertificateFile /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt
SSLCertificateKeyFile /etc/apache2/domain.ssl/domain.ssl.key/domain.com.key
SSLCertificateChainFile /etc/apache2/domain.ssl/ca.crt
SSLCACertificateFile /etc/apache2/domain.ssl/gs_intermediate_ca.crt

Compruebe de nuevo que todos los archivos que realmente existen y son válidos.

1voto

Para las personas que lleguen a esta página con un error similar cuando se trata de leer una Solicitud de Firma de Certificado (CSR) (tenga en cuenta que la OP es la lectura de un certificado): asegúrese de utilizar el derecho comando OpenSSL. x509 es para los certificados y req es para los representantes de atención al cliente:

openssl req -in server.csr -text -noout

vs

openssl x509 -in server.crt -text -noout

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: