我正在为 配置 SSL Apache 2。我的系统是Ubuntu Server 10.04 LTS。我的 vhost 配置中有以下与 SSL 相关的设置:
SSLEngine On
SSLCertificateKeyFile /etc/ssl/private/server.insecure.key
SSLCertificateFile /etc/ssl/certs/portal.selfsigned.crt
(旁注:我使用.insecure密钥文件是因为该文件没有密码保护,而且我想清楚地看到它是一个不安全的密钥文件)
因此,当我重新启动 apache 时,我收到以下消息:
Syntax error on line 39 of /etc/apache2/sites-enabled/500-portal-https:
SSLCertificateKeyFile: file '/etc/ssl/private/server.insecure.key' does not exist or is empty
Error in syntax. Not restarting.
但是该文件存在,并且不是空的(实际上它包含一个私钥):
sudo ls -l /etc/ssl/private/server.insecure.key
-rw-r----- 1 root www-data 887 2012-08-07 15:14 /etc/ssl/private/server.insecure.key
sudo ls -ld /etc/ssl/private/
drwx--x--- 2 root www-data 4096 2012-08-07 13:02 /etc/ssl/private/
我尝试过使用两个组 www-data 和 ssl-cert 来更改所有权。我不确定在 Ubuntu 中哪个是正确的:默认情况下,Ubuntu 使用 ssl-cert,但另一方面,apache 进程使用用户 www-data 运行:它由用户 root 启动,但在某些时候更改为 www-data,我不确定何时读取证书。
但无论如何,更换群主并没有改善这种情况。我的问题是:
- 我还能尝试什么来让它工作?
- 我如何验证我的密钥文件是有效的密钥文件?
- 如何验证密钥文件和证书(
/etc/ssl/certs/portal.selfsigned.crt)可以一起工作?
我认为 Apache 给出了误导性的错误信息,我想查明错误原因。
答案1
我发现了错误。这是因为我使用脚本来设置证书,而我执行的步骤之一是apache2ctl configtest。错误来自此命令,而不是来自 apache restart,这误导了我。由于我以普通用户身份运行 apache2ctl 命令,因此它无法访问密钥文件,因此出现错误消息。
事实:确保所有 apache 命令都使用 sudo 运行,即使是那些仅用于语法验证的命令(apache2ctl),因为它们也需要访问密钥。
答案2
我也收到了消息
SSLCertificateKeyFile: file '/path/to/file' does not exist or is empty
虽然/path/to/file存在并且具有正确的权限,但由于 SELinux 已打开,因此 apache 用户无法访问此文件。
它看起来像这样:
$ sudo ls -laZ /etc/pki/tls/certs/
drwxr-xr-x. root root system_u:object_r:cert_t:s0 .
drwxr-xr-x. root root system_u:object_r:cert_t:s0 ..
-rw-------. root root unconfined_u:object_r:cert_t:s0 this-one-works.crt
-rw-------. root root unconfined_u:object_r:admin_home_t:s0 this-one-is-unaccessable.crt
为了解决这个问题,我运行sudo restorecon -Rv /etc/pki/tls/certs/- 它将修复问题文件的 SELinux 属性。
答案3
我已经这样做了,它对 CentOS 5.7 有帮助
server:~ # chcon -t cert_t /etc/pki/tls/private/my.key
server:~ # ls -laZ /etc/pki/tls/private/
答案4
普通用户无权访问/etc/ssl/private目录。
请尝试
sudo apache2ctl configtest