Una volta stabilito che non corrispondono, hai ancora un problema: cosa fare al riguardo. Spesso il certificato può essere semplicemente assemblato in modo errato. Quando una CA firma il tuo certificato, ti invia un blocco che assomiglia a qualcosa
-----BEGIN CERTIFICATE-----
MIIAA-and-a-buncha-nonsense-that-is-your-certificate
-and-a-buncha-nonsense-that-is-your-certificate-and-
a-buncha-nonsense-that-is-your-certificate-and-a-bun
cha-nonsense-that-is-your-certificate-and-a-buncha-n
onsense-that-is-your-certificate-AA+
-----END CERTIFICATE-----
ti invieranno anche un pacchetto (spesso due certificati) che rappresentano la loro autorità per concederti un certificato. questo avrà un aspetto simile
-----BEGIN CERTIFICATE-----
MIICC-this-is-the-certificate-that-signed-your-request
-this-is-the-certificate-that-signed-your-request-this
-is-the-certificate-that-signed-your-request-this-is-t
he-certificate-that-signed-your-request-this-is-the-ce
rtificate-that-signed-your-request-A
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIICC-this-is-the-certificate-that-signed-for-that-one
-this-is-the-certificate-that-signed-for-that-one-this
-is-the-certificate-that-signed-for-that-one-this-is-t
he-certificate-that-signed-for-that-one-this-is-the-ce
rtificate-that-signed-for-that-one-this-is-the-certifi
cate-that-signed-for-that-one-AA
-----END CERTIFICATE-----
tranne che, sfortunatamente, non saranno così chiaramente etichettati.
una pratica comune, quindi, è raggrupparli tutti in un unico file: il certificato, quindi i certificati di firma. Ma poiché non sono facilmente distinguibili, a volte capita che qualcuno le inserisca accidentalmente nell'ordine opposto - firmando i certificati, poi il certificato finale - senza accorgersene. In tal caso, il tuo certificato non corrisponderà alla tua chiave.
Puoi testare per vedere cosa pensa di rappresentare il certificato eseguendo
openssl x509 -noout -text -in yourcert.cert
In alto, dovresti vedere "Oggetto:" e quindi elementi che assomigliano ai tuoi dati. Se invece assomiglia alla tua CA, probabilmente il tuo bundle è nell'ordine sbagliato; potresti provare a fare un backup e quindi spostare l'ultimo certificato all'inizio, sperando che sia quello che è il tuo certificato.
Se questo non funziona, potrebbe essere necessario riemettere il certificato. Quando creo un CSR, mi piace etichettare chiaramente a quale server è destinato (invece di solo ssl.key o server.key) e farne una copia con la data nel nome, come mydomain.20150306.key ecc. In questo modo è improbabile che le coppie di chiavi private e pubbliche si confondano con un altro set.