"Il certificato della chiave pubblica e la chiave privata non corrispondono" quando si utilizza il certificato emesso da Godaddy [chiuso]

Sto cercando di installare un certificato SSL GoDaddy su un nuovo bilanciatore del carico che sto configurando su Amazon AWS. Inizialmente ho creato il certificato su Godaddy utilizzando il programma keytool per l'installazione diretta su un server Glassfish 3.1 (Amazon linux ami). Non ho avuto problemi a ottenere quella configurazione direttamente sul server. Ora devo spostare il certificato dal server web al nuovo bilanciamento del carico. Amazon richiede che la chiave privata e i certificati siano in formato PEM, quindi ho utilizzato lo strumento "rekey" su GoDaddy per creare nuovi certificati. Quando li carico nella schermata di configurazione del bilanciamento del carico sulla console AWS Mgmt, viene visualizzato il messaggio di errore: "Il certificato della chiave pubblica e la chiave privata non corrispondono".

Ecco come creo le chiavi:

$ openssl genrsa -des3 -out private.key 2048
$ openssl req -new -key private.key -out apps.mydomain.com.csr

Quindi invio il file .csr a GoDaddy durante il processo di "rekey". Una volta completata la rekey, scarico i 2 certificati appena creati (apps.mydomain.com.crt & gd_bundle.crt). Li scarico selezionando (Apache) come tipo di server (ho provato anche "altro" e "Cpanel" ma sembrano tutti uguali).

A questo punto, rimuovo la crittografia dal file private.key utilizzando il seguente comando:

$ openssl rsa -in private.key -out private.pem

A questo punto, torno nella console AWS Mgmt, creo il load balancer, aggiungo il reindirizzamento del server sicuro e metto il contenuto dei seguenti file nei rispettivi campi a schermo dove chiede di configurare il certificato ssl:

private.pem --> Private Key
apps.mydomain.com.crt --> Public Key Certificate
gd_bundle.crt --> Certificate Chain

Quando faccio clic sul pulsante "continua" ricevo l'errore "Errore: il certificato della chiave pubblica e la chiave privata non corrispondono".

-C'è un modo per verificare che ricevo un messaggio di errore valido da Amazon? Mi sembra strano che le chiavi non corrispondano quando seguo le istruzioni di GoDaddy abbastanza da vicino.

Ho provato a creare il file private.key senza crittografia RSA prima di creare .csr e questo non sembra fare alcuna differenza.

Presumo anche che i file .crt che sto scaricando da GoDaddy siano in formato .PEM, ma non sono sicuro di come verificarlo.

Qualche idea?

Per me è stato un facile due passaggi:

1. Converti la chiave privata in PEM:

   openssl rsa -in yourdomain.key -outform PEM

2. Converti il ​​certificato e il bundle di certificati in PEM :

   openssl x509 -inform PEM -in yourdomain.crt

   openssl x509 -inform PEM -in bundle.crt

Solo per la cronaca e per chiunque altro stia cercando di capirlo:

tuodominio.chiave -> comando da terminale: sudo openssl rsa -in yourdomain.key -outform PEM -out yourdomain.pem -> chiave privata

tuodominio.crt -> chiave pubblica

gd_bundle.crt -> catena di certificati

e sei a posto :)

Sembra che il problema fosse il modo in cui stavo copiando il contenuto della chiave e dei certificati nella console di gestione AWS. Stavo usando un desktop Ubuntu in esecuzione in Virtual Box su un desktop Windows 7; copia e incolla i valori da una schermata gedit nel browser in esecuzione sulla casella di Windows. Una volta aperti i file della chiave e del certificato nella stessa casella del browser web (Windows in questo caso), i certificati sono andati a buon fine. Immagino che alcune parti del file non vengano ripristinate correttamente quando si utilizza la clipboard condivisa tra il client Virtual Box e l'host. Caso chiuso.

Abbiamo trovato una soluzione alternativa a questo problema. Avevamo gli stessi sintomi con lo stesso errore.

Quindi abbiamo provato a reinserire i codici pem ancora una volta, ma questa volta ci siamo assicurati di premere Invio una volta e assicurati che il cursore fosse su una riga vuota alla fine di ogni finestra. Poi l'abbiamo salvato. HA FUNZIONATO.

Questo ha risolto il nostro problema, quindi potrebbe risolverlo per altri.

Un piccolo trucchetto. Sto usando una finestra di Windows (Win 7 Pro) e quando ho usato la porta Windows di OpenSSL, i file in uscita avevano caratteri di fine riga (LF) in stile Unix.

Ho dovuto convertire il file in stile Windows (CRLF) per il caricamento della chiave privata.

Posso suggerirvi una soluzione alternativa e un'informazione a voi ragazzi. Generalmente tutti i certificati sono in formato file PEM. Puoi semplicemente aprire un blocco note o qualsiasi editor di testo e trascinare i file che hai ricevuto in formato file .crt. Normalmente chiamato file .PEM. Se il certificato è stato caricato nel tuo keytool, puoi esportare il certificato come file pfx da keytool. Quindi puoi separare il file pfx dalla chiave privata dal file pfx. Perché il file pfx è la combinazione del tuo certificato e della chiave privata, quindi puoi ottenere separatamente il file della chiave privata e usarlo su amazon aws.

Sospetto che ci possa essere un altro modo per installare il certificato. Potrebbe essere possibile contattare l'autorità di certificazione e c'è un modo per ottenere la riemissione del certificato.