今天把服务器上的nginx关闭再启动, 发现了如下问题:
[root@PUS*-021 ssl.key]# nginx -c /opt/nginx-conf/poll.conf
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/usr/local/nginx/ssl/ssl.key/****.com.20160503.key") failed
(SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
这个错误很明显,意思是说私钥与证书不匹配。
一般来讲,我们拿到的官方证书,不是最终的证书,而是一个中间证书intermediate.crt和一个根证书,需要我们把两个证书合成一个最终的证书,这里如果顺序错误,就会出现这里所说的一个问题。另外有可能就是在复制证书内容合并的时候,证书末尾的字母后面有空格。为了避免空格出现,可以通过cat root.crt intermediate.crt > ca_****.crt来生成证书。
知道证书的问题在哪里,就很好解决了。我这里是生成证书时,两个证书的顺序刚好搞反了,变更顺序即可。
另外生成证书,可以通过如下openssl自带的工具检测私钥与证书是否匹配。
[root@PUS*-021 ssl]# openssl x509 -noout -modulus -in ssl.crt/ca_****.crt | openssl md5 (stdin)= 8216eeaa8e1a346dd1f5dfecaadfec1d [root@PUS*-021 ssl]# openssl rsa -noout -modulus -in ssl.key/****.com.20160503.key | openssl md5 (stdin)= 8216eeaa8e1a346dd1f5dfecaadfec1d
如果两个结果一致,则表明私钥和证书是匹配的,可以正确启动nginx。