Apache SSL: o certificado do servidor não inclui o ID que corresponde ao nome do servidor

13

Estou tentando configurar o SSL no meu servidor web apache2, mas parece que ele não funciona.

Eu segui um tutorial para criar arquivos cert com o openssl e configurei o /etc/apache2/sites-available/default-ssl.conf corretamente.

Sempre que tento abrir meu site com https, meu navegador se recusa a se conectar devido a problemas de segurança. Ela diz que não configurei meu website corretamente.

No meu /var/log/apache2/error.log , estou recebendo avisos, que dizem que meu certificado de servidor não inclui um ID que corresponda ao nome do servidor.

[Mon Apr 10 11:03:24.041813 2017] [mpm_prefork:notice] [pid 1222] AH00169: caught SIGTERM, shutting down
[Mon Apr 10 11:03:30.566578 2017] [ssl:warn] [pid 661] AH01909: 127.0.0.1:443:0 server certificate does NOT include an ID which matches the server name
[Mon Apr 10 11:03:31.579088 2017] [ssl:warn] [pid 1194] AH01909: 127.0.0.1:443:0 server certificate does NOT include an ID which matches the server name
[Mon Apr 10 11:03:31.592958 2017] [mpm_prefork:notice] [pid 1194] AH00163: Apache/2.4.25 (Raspbian) OpenSSL/1.0.2k configured -- resuming normal operations
[Mon Apr 10 11:03:31.593136 2017] [core:notice] [pid 1194] AH00094: Command line: '/usr/sbin/apache2'

Você tem alguma idéia de como resolver isso? Obrigado em consideração!

    
por pixelmusic 10.04.2017 / 13:21

5 respostas

3

Ok, notei que este post é visto com bastante frequência recentemente e parece que muitas pessoas estão enfrentando o mesmo problema que eu. Se sim, isso pode ajudá-lo.

Eu segui um simples tutorial passo-a-passo para criar uma certificação SSL para o meu servidor da web. Como muitos tutoriais por aí, o resultado do tutorial que eu segui foi um certificado auto-assinado usando o OpenSSL. Sim auto-assinado , esse era o problema. O navegador não pôde confiar no servidor devido ao certificado assinado por ele mesmo. Bem, eu também não faria ...

Um certificado precisa ser assinado por uma autoridade de certificação (CA) confiável e externa. Então eu tropecei em Vamos Criptografar , que faz todo o trabalho para você e é ainda mais fácil de configurar, e o melhor é: é absolutamente livre.

Instalação

1) Exclua seus arquivos certificados ssl antigos que você criou usando o OpenSSL

2) Abra backports para obter o cliente certbot no Debian. Você deve saber que isso abrirá um buraco para o software inacabado! Instale apenas os pacotes quando souber do que está fazendo.

echo 'deb http://ftp.debian.org/debian jessie-backports main' | sudo tee /etc/apt/sources.list.d/backports.list

3) Atualize seu sistema linux

sudo apt-get update

4) Instale o certbot

sudo apt-get install python-certbot-apache -t jessie-backports

5) Configure o Apache ServerName e o ServerAlias

sudo nano /etc/apache2/sites-available/000-default.conf

6) Edite o arquivo de configuração do apache

<VirtualHost *:80>
    . . .
    ServerName example.com
    ServerAlias www.example.com
    . . .
</VirtualHost>

7) Verifique a sintaxe correta

sudo apache2ctl configtest

8) Se o arquivo de configuração parece bem, reinicie o servidor apache

sudo systemctl restart apache2

9) Configure um certificado usando o certbot e siga as instruções na tela.

sudo certbot --apache

Renovação

Todos os certificados da Let's Encrypt são válidos por 3 meses. Para renovar você pode executar manualmente

sudo certbot renew

Ou automatize esse serviço como uma tarefa cronica

sudo crontab -e

e insira a linha a seguir para invocar uma renovação toda segunda-feira às 2:30 da manhã.

. . .
30 2 * * 1 /usr/bin/certbot renew >> /var/log/le-renew.log

Espero que esta ou outra das grandes respostas o ajude. Quanto a mim, esta foi a solução que funcionou para mim. Você pode seguir um tutorial mais detalhado aqui: link

    
por 03.07.2017 / 10:40
2

Se você não estiver vendo nenhum outro erro SSL, e se você tentou definir 'LogLevel debug' no arquivo httpd.conf, esta mensagem de erro também pode sugerir que 'Listen 443' está faltando no arquivo httpd.conf.

    
por 04.10.2017 / 21:57
0

Esses não são erros - são avisos. É bem possível executar mod_ssl com um certificado que não corresponde aos nomes de servidor definidos, desde que você tenha um host ssl padrão definido e o nome comum no certificado corresponda ao nome do host usado pelos clientes para se conectar.

O último não parece ser verdade no seu caso. Como Jacob diz, você precisa especificar o nome do host correto como o nome comum (ou um alias) quando você cria um CSR .

Para ver o (s) nome (s) existente (s) no certificado:

openssl s_client -showcerts -connect ${HOSTNAME}:443

Se houver vários certificados instalados na máquina e exibidos no mesmo endereço IP, então:

openssl s_client -showcerts -connect ${HOSTIP}:443 -servername ${HOSTNAME}

(em que os valores $ {...} são espaços reservados que você deve substituir pelos valores relevantes).

    
por 10.04.2017 / 14:20
0

Eu encontrei esse problema recentemente, quando meu certificado auto-assinado expirou. Eu pesquisei e copiei o comando para criar um novo certificado em um site.

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/apache2/ssl/apache.crt

No meu arquivo de configuração do apache: /etc/apache2/sites-available/default-ssl.conf. O arquivo de certificado & arquivo de chave referem-se ao seguinte nome de arquivo.

    SSLCertificateFile  /etc/apache2/ssl/apache.crt
    SSLCertificateKeyFile /etc/apache2/ssl/apache.key

Assim, o erro visto aqui no meu caso foi uma correção mais fácil, apenas fornecendo o local correto do arquivo de chave do certificado ao criar o certificado ssl.

Então, aqui está o comando que eu deveria ter usado & digitado corretamente.

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
    
por 12.12.2017 / 11:14
0

No meu caso, resolvi isso substituindo no meu arquivo de configuração do apache ssl para cada domínio em questão:

ServerName mydomain.com
ServerAlias www.mydomain.com

por:

ServerName www.mydomain.com
ServerAlias mydomain.com

Porque meu certificado é para "www.mydomain.com" e não para "mydomain.com"

arquivo completo do apache:

<IfModule mod_ssl.c>
<VirtualHost *:443>
    ServerAdmin [email protected]
        ServerName www.mydomain.com
        ServerAlias mydomain.com
    DocumentRoot /home/mydomain.com/public_html
SetOutputFilter DEFLATE
SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|ico|png)$ \ no-gzip dont-vary
SetEnvIfNoCase Request_URI \.(?:exe|t?gz|zip|bz2|sit|rar)$ \no-gzip dont-vary
SetEnvIfNoCase Request_URI \.pdf$ no-gzip dont-vary
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

    <Directory />
        Options +FollowSymLinks
        AllowOverride All
    </Directory>
    <Directory /home/mydomain.com/public_html>
        Options -Indexes +FollowSymLinks +MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride All
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>


ErrorLog ${APACHE_LOG_DIR}/error.log

LogLevel warn
SSLCertificateFile /etc/letsencrypt/live/www.mydomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.mydomain.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>
    
por 30.11.2018 / 21:12