Erro SSL - não é possível ler o certificado do servidor a partir do arquivo

É possível que as linhas sejam terminadas em M? Esse é um problema em potencial ao mover arquivos do Windows para sistemas UNIX. Uma maneira fácil de verificar é usar vi no modo "mostre-me o binário", com vi -b /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt .

Se cada linha terminar com um controle-M, como este

-----BEGIN CERTIFICATE-----^M
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg^M
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wOTEyMTgwMDAwMDBaFw0x^M

você tem um arquivo no formato de terminação de linha do Windows, e o apache não adora isso.

Suas opções incluem mover o arquivo novamente, tomando mais cuidado; ou usando o comando dos2unix para removê-los; você também pode removê-los dentro do vi, se tiver cuidado.

Para quem chegar nesta página com um erro semelhante ao tentar ler um CSR (Certificate Signing Request) (observe que o OP está lendo um certificado): certifique-se de usar o comando OpenSSL correto. x509 é para certificados e req é para CSRs:

openssl req -in server.csr -text -noout

vs

openssl x509 -in server.crt -text -noout

Apenas dei voltas e voltas em círculos sobre isso, e descobri que eu tinha os certificados da maneira errada - por exemplo,

SSLCertificateFile    /etc/apache2/ssl/server.key
SSLCertificateKeyFile /etc/apache2/ssl/server.crt

em vez de:

SSLCertificateFile    /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key

Algo para verificar se você está recebendo este erro.

No meu caso, descobri que meu certificado tinha caracteres "-" diferentes. Deve ter sido um problema de copiar / colar do administrador que colocou o certificado no servidor, com o editor de texto substituindo - com um caractere unicode especial ao longo do caminho.

Isso demorou horas para ser diagnosticado e, no final, adivinhei, editei o certificado no vi e deletei os caracteres "-" existentes e os redigi novamente.

Espero que isso ajude alguém.

>> openssl x509 -noout -text -in domain.com.crt 
unable to load certificate
16851:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE

Suspeito que você tenha um problema com o formato do certificado.

Execute os dois comandos a seguir e forneça a saída:

openssl x509 -text -inform DER -in domain.com.crt 
openssl x509 -text -inform PEM -in domain.com.crt 

No meu caso, eu encontrei os erros do OP porque quem criou o arquivo .crt para mim em primeiro lugar realmente criou um arquivo formatado .PEM , e o nomeou .crt.

Descobri isso seguindo o seguinte guia útil: link

tudo que eu tinha que fazer era renomear meu .crt para um .pem, e eu estava pronto! O guia indicou que os erros da pergunta do OP indicam que o arquivo de entrada já está formatado no PEM, portanto, tentar convertê-lo para .pem a partir de um formato DER não pode ser feito e, de fato, é desnecessário.

Certifique-se de que seu arquivo não tenha espaços à direita ou iniciais no arquivo de certificado. Certifique-se de que não haja espaços ou espaços em branco no seu arquivo de certificado, selecionando todo o texto e procurando espaços em branco em um editor somente de texto.

Verifique também se todos os arquivos configurados existem e estão corretos.

Por exemplo: no seu outro post você diz que o seu arquivo .key tem o nome my domain.com.crt enquanto na configuração vhost você tem domain.com.crt

SSLCertificateFile /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt
SSLCertificateKeyFile /etc/apache2/domain.ssl/domain.ssl.key/domain.com.key
SSLCertificateChainFile /etc/apache2/domain.ssl/ca.crt
SSLCACertificateFile /etc/apache2/domain.ssl/gs_intermediate_ca.crt

Verifique novamente se todos os arquivos acima realmente existem e são válidos.

Alguém deve se deparar com esse problema e seus logs de erro do Apache dizem algo como:

Init: não é possível ler o certificado do servidor do arquivo /etc/apache2/domain.com.ssl/domain.com.crt/domain.com.crt

Certifique-se de não ter trocado seus arquivos de chave e certificado nas declarações na configuração do apache. Eu tinha apontado a chave para o meu arquivo de certificado e o certificado para o meu arquivo de chave. Este post me ajudou a descobrir o problema, mas eu queria destacá-lo como outro problema / solução em potencial.

Meu problema (ter o mesmo erro ao instalar um novo servidor com o Apache 2.4) era que o Apache (2.4) não podia ler o arquivo .crt binário. Eu o importei no meu armazenamento de certificados pessoais (com mmc) e os exportei como X.509 codificado na base 64 (.cer). Renomeou o arquivo exportado com o mesmo nome (.crt) (usado no meu httpd-ssl.conf) e funcionou novamente! O mesmo certificado funcionou no meu servidor antigo, talvez o Apache 2.4 seja mais rigoroso que o 2.2? Boa sorte.

No meu caso, tem a ver com a BOM estar presente no arquivo. Pode-se despir assim:

tail -c +4 ssl.crt > ssl2.crt

Não tenho certeza se sempre leva 3 bytes, então o melhor caminho deve ser:

vi -c 'se nobomb' -c wq ssl.crt

Eu recebi o mesmo erro porque eu mudei .key com nomes de arquivo .crt

Eu tive um problema semelhante quando acidentalmente usei um certificado IIS do tipo p7b fornecido pelo cliente na configuração do apache. A conversão do certificado para o formato x509 corrigiu o erro. Ambos os tipos parecem iguais na superfície, mas aparentemente são diferentes por dentro.

Eu tive esse problema porque recebi o conteúdo de um arquivo .p7b no estilo do IIS colado em um email. Ele tem as tags "----- BEGIN CERTIFICATE -----" e "----- END CERTIFICATE -----", exatamente como .pem, e o conteúdo usa uma codificação de base64 semelhante. Eu converti para um arquivo * .pem assim:

openssl pkcs7 -print_certs -in cert.p7b -out cert.cer

Depois disso, o Apache 2.2 ficou feliz.