Я пытаюсь включить ssl (tls?) Я столкнулся с этими ошибками, и у меня есть эти вопросы.

  1. Почему apache не перезагружается? И как мне его перезапустить? Замена перезагрузки на запуск не работает.
  2. Может ли пропустить третий шаг быть причиной проблемы? Если да, как мне выполнить третий шаг?
  3. Я фактически создал новый файл .csr и .key (я новичок во всем этом) с другими именами. Может ли это быть причиной проблемы? файлы .csr и .key, которые там находятся, названы как-то иначе, чем новые, которые я создал. Должен ли я заменить старые файлы .csr и .key новыми, которые я создал, чтобы получить файлы .crt? Должен ли я заменить старые файлы .csr и .key, переименовав новые созданные мной файлы и добавив новые файлы в каталог, перезаписав старые файлы?

Я следовал за этими шагами, которые можно найти здесь

https://wiki.bitnami.com/Components/Apache#How_to_enable_HTTPS_support_with_SSL_certificates.

Я получил два сертификата от моего ca, один из них был назван случайной буквенно-цифровой строкой, такой как 8d0g03k02K.crt, другой был назван с использованием обычного английского языка и имел слово bundle в нем точка crt. я переименовал случайную строку server.crt и файл со словом «bundle» в server-ca.crt. оба эти файла заканчиваются на .crt

Затем с помощью ftp я заменил файл server.crt, который находился в /opt /bitnami /apache2 /conf /, на файл .crt, который я переименовал в server.crt из случайной буквенно-цифровой строки. Я также загружаю файл, переименованный в server-ca.crt, из имени файла, в котором используется слово bundle.

Теперь я пытаюсь выполнить третий шаг ниже, но когда я открываю httpd.conf, я ищу SSLCertificateKeyFile, чтобы добавить /opt/bitnami/apache2/conf/server-ca.crt. В httpd.conf нет слова SSLCertificateKeyFile.

Затем я перехожу к шагам 4 и 5, потому что я не знаю, что делать с шагом 3.

когда я набираю команду для перезапуска, она начинает перезапускать нормально, а затем я получаю сообщение об ошибке httpd не может быть перезапущен.

  1. Почему apache не перезагружается? И как мне его перезапустить? Замена перезагрузки на запуск не работает.
  2. Может ли пропустить третий шаг быть причиной проблемы? Если да, как мне выполнить третий шаг?
  3. Я фактически создал новый файл .csr и .key (я новичок во всем этом) с другими именами. Может ли это быть причиной проблемы? файлы .csr и .key, которые там находятся, названы как-то иначе, чем новые, которые я создал. Должен ли я заменить старые файлы .csr и .key новыми, которые я создал, чтобы получить файлы .crt? Должен ли я заменить старые файлы .csr и .key, переименовав новые созданные мной файлы и добавив новые файлы в каталог, перезаписав старые файлы?

Вот инструкции, которым я следовал:

По умолчанию ваше приложение размещается в корне вашего пользовательского доменного имени, например. блог Wordpress, размещенный по адресу https: //my-domain.com/

Выполните следующие действия, чтобы активировать поддержку SSL:

1. Используйте таблицу ниже, чтобы определить правильные местоположения для вашего сертификата и файлов конфигурации.


URL текущего приложения: https: // [c ustom - domain] / Пример: https: //my-domain.com/

Файл конфигурации Apache: /opt/bitnami/apache2/conf/bitnami/bitnami.conf

Файл сертификата: /opt/bitnami/apache2/conf/server.crt

Файл ключа сертификата: /opt/bitnami/apache2/conf/server.key

Файл пакета сертификатов CA (если имеется): /opt/bitnami/apache2/conf/server-ca.crt


2. Скопируйте свой сертификат SSL и файл ключа сертификата в указанные места. Узнайте больше о загрузке и редактировании файлов.

ПРИМЕЧАНИЕ. Если вы используете разные имена для файлов сертификатов и ключей, вам следует перенастроить директивы SSLCertificateFile и SSLCertificateKeyFile в соответствующем файле конфигурации Apache, чтобы отразить правильные имена файлов.

3. Если ваш центр сертификации также предоставил вам комплект PEM-кодированного центра сертификации (CA), вы должны скопировать его в правильное место в предыдущей таблице. Затем измените файл конфигурации Apache, добавив следующую строку под директивой SSLCertificateKeyFile. Выберите правильную директиву, основанную на вашем сценарии и версии Apache:


Файл конфигурации Apache: /opt/bitnami/apache2/conf/bitnami/bitnami.conf

Директива для включения (Apache v2.4.8+): SSLCACertificateFile «/opt/bitnami/apache2/conf/server-ca.crt»

Директива для включения (Apache <v2.4.8): SSLCertificateChainFile «/opt/bitnami/apache2/conf/server-ca.crt»

4. После того как вы скопировали все файлы сертификатов сервера, вы можете сделать их читаемыми для пользователя root только с помощью следующих команд:

sudo chown root:root /opt/bitnami/apache2/conf/server*
sudo chmod 600 /opt/bitnami/apache2/conf/server*

5. Перезагрузите сервер Apache.

sudo /opt/bitnami/ctlscript.sh restart apache

Теперь вы сможете получить доступ к своему приложению, используя URL-адрес HTTPS.

1 ответ1

1

SSLCertificateKeyFile является наиболее важной частью SSL. SSLCertificateKeyFile используется для шифрования данных, которые вы отправляете в браузер мистера Смита, когда он указывает на ваш адрес. Браузер мистера Смита использует SSLCertificateFile для расшифровки трафика, поэтому он должен точно соответствовать SSLCertificateKeyFile (во-вторых, Смит использует его для предотвращения атаки «человек посередине», но это уже другая история).

Apache проверяет, совпадает ли .key с .crt при запуске, поэтому неудивительно, что он не запускается, если у вас нет ключа или не соответствует ключ.

Ваша инструкция только частичная. Он пропускает начало - вы сгенерировали свой файл .key как самый первый шаг (даже до того, как у вас был какой-либо файл .crt), который вы сейчас хотите поместить в /opt/bitnami/apache2/conf/server.key и убедитесь, что у вас есть запись SSLCertificateKeyFile /opt/bitnami/apache2/conf/server.key .

Так что исправьте это, а также добавьте server-ca.crt, как указано в инструкции.

Ключевой момент в .key, который вы могли пропустить, заключается в том, что полученный вами server.crt можно использовать только тогда, когда у вас точно такой же ключ .key, который был сгенерирован вместе в одном процессе.

Генерация происходит следующим образом: вместе с файлом .key вы создали файл .csr. Эти два соответствуют друг другу. Затем, файл .csr был преобразован какой-то компанией в файл server.crt, который по-прежнему совпадает с тем же ключом. И только этот. .Crt - это файл, который на самом деле полезен для SSL.

Файл .csr необходим только для вашего центра сертификации в качестве входного файла, из которого они генерируют файл .crt, вы не используете его для фактического соединения SSL.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .