2016-04-29 6 views
0

Ich habe SSL erhalten, um auf Apache-Servern und auf dem Nginx-Server eines Clients zu arbeiten. Ich habe jedoch Probleme mit der Installation meines EV-SSL-Zertifikats. Dies ist auch auf einem Server mit einem Sonderzeichen in der URL: weöm.com.Probleme mit dem EV-SSL-Zertifikat für die Arbeit mit Nginx

weöm.com wird als xn--wem-tna.com in Browsern angezeigt, was in Ordnung ist. Als ich meine .ca-bundle, die mir von COMODO per E-Mail gesendet wurde, inspizierte, sah ich meinen Domain-Namen als we\xC3\xB6m.com gerendert, was mich dazu brachte, meine .csr und .key auf die gleiche Weise zu generieren.

Hier ist, wie ich habe es zu tun (lief diesen Befehl im Terminal):

openssl req -new -newkey rsa:2048 -nodes -out weom.csr -keyout weom.key -subj "/serialNumber=000000000/businessCategory=Private Organization/C=US/postalCode=00000/ST=California/L=Cupertino/street=1 Loop Way/O=Apple Inc/OU=COMODO EV SSL/CN=we\xC3\xB6m.com"

(ich die Seriennummer und andere Dinge mit gefälschten Daten in meinem Beispiel ersetzt habe)

Der Code spuckt einen .csr und .key mit den gleichen Daten aus, die mein kompilierter .crt hat, und ich kann nicht verstehen, warum ich immer noch diesen SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch Fehler bekomme.

Ich habe seit ungefähr einer Woche damit gestritten, hat jemand eine Idee, was ich falsch mache?

EDIT: Proving Weitere Informationen ...

Hier ist, wie ich meinen Meister bin zu schaffen .crt:

cat xn--wem-tna.com.crt AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSAExtendedValidationSecureServerCA.crt >> cert_chain.crt

Dies ist die default Datei in meinem sites-available Ordner:

server { 
    listen 80 default_server; 
    listen [::]:80 default_server; 

    server_name xn--wem-tna.com; 
    return 301 https://$host$request_uri; 
} 

server { 
    # SSL configuration 
    listen 443 ssl default_server; 
    listen [::]:443 ssl default_server; 

    ssl_certificate  cert_chain.crt; 
    ssl_certificate_key weom.key; 

    ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES"; 

    root /var/www/html; 

    # Add index.php to the list if you are using PHP 
    index index.html index.htm index.nginx-debian.html; 

    server_name xn--wem-tna.com; 

    location/{ 
     # First attempt to serve request as file, then 
     # as directory, then fall back to displaying a 404. 
     try_files $uri $uri/ =404; 
    } 
} 
+0

Der Betreff des Zertifikats sollte den "echten" Hostnamen enthalten, also den Namen des Punycodes, also 'xn - wem-tna.com'. –

+0

So war es anfangs, aber ich habe diesen Fehler bekommen. Ich werde es nochmal versuchen. –

+0

Ja, der Fehler, den ich bekomme, ändert sich nicht. –

Antwort

0

Oh ja, vergessen zu aktualisieren.

Ich bekam eine Rückerstattung und ging mit CertSimple. Ich schrieb ihnen Freitagabend E-Mails, durchlief den gesamten Prozess des Erhalts eines EV-Zertifikats am Samstagmorgen/-nachmittag und hatte es bis 18 Uhr auf meinem Server (und das nur, weil ich Besorgungen machte).

0

Der Grund für den Fehler ist, dass Ihr KEY und CRT unterschiedlich sind.

Sie können dies überprüfen, indem MD5-Hashes Überprüfung auf sie:

openssl x509 -noout -modulus -in certificate.crt | openssl md5

openssl rsa -noout -modulus -in privateKey.key | openssl md5

Außerdem würde ich die Reihenfolge in dem Bündel CRT (cert_chain.crt) ändern, im Moment haben Sie es auf diese Weise:

xn - WEM-tna.com.crt AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSAExtendedValidationSecureServerC A.crt

es sein sollte:

Katze xn - WEM-tna.com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt> cert_chain.crt

Dies ist offizieller Comodos Certificate Installation: NGINX

Was macht mich besorgt ist Ihr Kommentar am Anfang:

Wenn Sie den Schlüssel geändert haben, sobald Ihr Zertifikat ausgestellt worden waren Sie es ungültig machen müssen und anwenden für einen neuen CRT mit Ihrem neuen KEY und neuen CSR.

weöm.com wird als xn--wem-tna.com in Browsern angezeigt, was in Ordnung ist. Als ich mein .ca-Bündel, das mir von COMODO per E-Mail geschickt wurde, inspizierte, sah ich, dass mein Domainname als we \ xC3 \ xB6m.com gerendert wurde, was mich dazu brachte, meine .csr und .key auf die gleiche Weise zu generieren.