Q&A
「Enter pass phrase:Apache:mod_ssl:Error: Private key not found. 」ということですが、秘密鍵のパスワードは、Apache起動時に入力していますか?
識者の皆様へ件名について質問させていただきます。
さくらVPSにラピッドSSLを導入しようとし、以下のようなエラーが
取り除くことができない状況です。
対応した内容をまとめますので、お力をお貸しいただきたいです。
(かれこれ1日以上ハマってしまいました・・・)
■環境
さくらVPS(CentOS7)
お名前comで取得したドメイン
ラピッドSSL
■対応した内容
①さくらVPSでCentOS7をインストールして、LAMP環境を構築
②お名前comで取得したドメインを設定
③「http」アクセス時は問題なくシステムが見える(使える)ことを確認
④ラピッドSSLにて契約、各種サーバ証明書を設定
⑤設定後、「http」「https」両方ともアクセス不能
⑥設定ファイルの記載方法設置場所等を見直し、試行錯誤をしています
■参考にさせていただいたURL
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2
■発生しているエラー
「service httpd restart」を入力すると、apacheが起動しないので、
「systemctl status httpd.service」と入力した結果、以下のようなエラーになることを確認しました。
(サーバ名とドメイン部分は便宜上xxxxxxxxxにしています)
apache
1● httpd.service - The Apache HTTP Server 2 Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) 3 Active: failed (Result: exit-code) since 火 2018-03-06 11:30:52 JST; 2min 28s ago 4 Docs: man:httpd(8) 5 man:apachectl(8) 6 Process: 2276 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE) 7 Process: 2274 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE) 8 Main PID: 2274 (code=exited, status=1/FAILURE) 9 10 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: In order to read them you have to provide the pass phrases. 11 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: Server xxxxxxxxx.net:443 (RSA) 12 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: Enter pass phrase:Apache:mod_ssl:Error: Private key not found. 13 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: **Stopped 14 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE 15 3月 06 11:30:52 vs.sakura.ne.jp kill[2276]: kill: cannot find process "" 16 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service: control process exited, code=exited status=1 17 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: Failed to start The Apache HTTP Server. 18 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: Unit httpd.service entered failed state. 19 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service failed.
■備考
・サーバ側のSSL設定手順については、バーチャルホストを使用
「xxxxxxxxx.net」にアクセスすると、「/var/www/html/xxxxxxxxx/」が見えることを想定しています。
・apacheのバージョンは2.4.6
・各設定ファイルのおき場所は以下のようにしました。
ssl関係のファイル
apache
1/etc/httpd/conf/ssl.crt/internal.crt 2/etc/httpd/conf/ssl.crt/server.crt 3/etc/httpd/conf/ssl.key/server.key
設定ファイル
apache
1/etc/httpd/conf.d/vhost.conf 2/etc/httpd/conf.d/ssl.conf
・ssl.confは、色々試行錯誤したところ、現在は全てコメントアウトしています。
・vhost.confは以下のように記載しました。
(色々と設定項目や値を調整していたので、漏れや抜けがあるかもしれませんが、現在の最終系です)
apache
1<VirtualHost *:80> 2 DocumentRoot /var/www/html 3 # ServerName 4</VirtualHost> 5 6# setting for ssl 7LoadModule ssl_module modules/mod_ssl.so 8Listen 443 9#NameVirtualHost *:443 10 11SSLPassPhraseDialog builtin 12SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) 13SSLSessionCacheTimeout 300 14#SSLMutex default 15Mutex default ssl-cache 16SSLRandomSeed startup file:/dev/urandom 256 17SSLRandomSeed connect builtin 18SSLCryptoDevice builtin 19 20# setting for caratinc.jp domain 21<VirtualHost *:443> 22 SSLEngine on 23 SSLProtocol all -SSLv2 -SSLv3 24 25 SSLCertificateChainFile /etc/httpd/conf/ssl.crt/internal.crt 26 SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt 27 SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key 28 29 DocumentRoot /var/www/html/xxxxxxxxx 30 ServerName xxxxxxxxx:443 31 32 CustomLog logs/xxxxxxxxx.net_ssl.access_log common 33 ErrorLog logs/xxxxxxxxx.net_ssl.error_log 34 35 AddDefaultCharset UTF-8 36 <Directory "/var/www/html/xxxxxxxxx"> 37 AllowOverride All 38 Options Indexes FollowSymLinks 39 </Directory> 40</VirtualHost>
以上になります。
エラー内容が明確に分かってはいるのですが、色々と試行錯誤しても解決に至っておりません。
何卒どうぞよろしくお願い致します。
ありがとうございます。秘密鍵のパスワード(パスフレーズ?)は設定していますが、apache起動時には入力を求められませんでした。
すでに停止状態かもしれませんが、service httpd stop で停止させて、service httpd start だとどうでしょうか?
今回のエラーとは関係ないと思いますが、ラビッドSSLの場合、中間証明書が必要かと思いますが、中間証明書は設定されていますか?
回答ありがとうございます!service httpd stop後にservice httpd startしても状況は同じでした。
中間証明書については、以下のサイトの「1) 2017年11月30日(木) マネージドCA対応以降に発行された証明書:」の値を設定しました。
回答2件
0
ベストアンサー
/etc/httpd/conf/ssl.key/server.key 等のファイルが存在している前提ですが....
SSLのパスフレーズ(Pass Phrase Dialog)入力を省略してApacheを起動する の「2.パスフレーズ応答スクリプトを設定する」の設定をしたら、起動しないでしょうか?
投稿2018/03/06 03:42
総合スコア25234
回答ありがとうございます!
上記のURLを参考にパスフレーズが無いkeyファイルを作り、httpdを起動してみました。
パっと見、エラー表示は消えたようですが、サーバへのアクセスはできませんでした。
起動時(systemctl status httpd.service)の結果は、以下のようになりました。
● httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
Active: failed (Result: exit-code) since 火 2018-03-06 13:00:49 JST; 9s ago
Docs: man:httpd(8)
man:apachectl(8)
Process: 2624 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
Process: 2622 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
Main PID: 2622 (code=exited, status=1/FAILURE)
3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Starting The Apache HTTP Server...
3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE
3月 06 13:00:49 vs.sakura.ne.jp kill[2624]: kill: cannot find process ""
3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service: control process exited, code=exited status=1
3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Failed to start The Apache HTTP Server.
3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Unit httpd.service entered failed state.
3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service failed.
もしかすると、参考URLの中の「パスワード自動応答スクリプトを設置する」というシェルは必須でしょうか?
現状、このシェルは設定しておらず、keyファイルのみ新しく作成している状態です。
パスワードなしの鍵を使う場合は不要です。
error_log にエラーメッセージは出てないでしょうか?
なるほどです。
せめて原因の切り分けをしたいところですが、サーバ側の知識不足で苦戦中です。。。
/var/log/error_logを確認したところ
[Tue Mar 06 13:30:06.053224 2018] [suexec:notice] [pid 1598] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Mar 06 13:30:06.054507 2018] [ssl:emerg] [pid 1598] AH02311: Fatal error initialising mod_ssl, exiting. See /etc/httpd/logs/xxxxxxxxxxxxxxx_ssl.error_log for more information
のようになっていました。
xxxxxxのところは便宜上書き換えています。
mod_sslの記述がNGでしょうか。。
また、/etc/httpd/logs/xxxxxxxxxxxxxxx_ssl.error_logを見ると
[Tue Mar 06 13:30:06.054462 2018] [ssl:emerg] [pid 1598] AH02238: Unable to configure RSA server private key
[Tue Mar 06 13:30:06.054500 2018] [ssl:emerg] [pid 1598] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
のような記述でした。
このあたりが原因でしょうか!
https://www.dondari.com/SSL%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%A8%E3%83%A9%E3%83%BC
このURLを参考に、CSRとSSL証明書のModules部分の比較を行ってみました。
この値が一致していないとNGらしいですが、どこでどう違ってしまったのか。。。
■crtファイル
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:de:9d:21:13:11:c4:56:e1:94:35:e3:4b:69:20:
50:3a:e4:01:36:20:88:aa:29:4e:a9:50:4b:9b:ef:
83:8d:d4:36:6d:93:bc:85:12:9d:88:95:6e:e7:e2:
9b:43:8f:d8:46:62:3c:bd:d1:41:32:e8:2e:2b:3f:
1c:f6:08:68:0f:24:ac:1e:fd:a6:2e:51:55:bd:a2:
f2:21:cb:c3:ea:81:94:d6:64:43:fd:8c:b3:4a:3c:
c7:ce:82:ff:b6:b2:4c:c1:3a:16:ad:15:e6:a1:1f:
09:22:45:ae:4b:2f:40:70:17:00:59:d7:b6:b8:b7:
33:af:9b:98:de:b6:1b:d5:15:33:79:ff:05:a5:85:
9f:1e:0a:a7:44:a9:9d:26:a4:69:2e:f3:07:0c:37:
30:19:6b:71:af:9e:0f:33:df:5e:28:26:59:a7:1f:
98:6a:21:4a:b5:6b:56:bd:59:2d:dd:19:e4:cf:37:
43:87:9b:86:b0:66:69:e7:31:18:4f:03:27:79:70:
d2:6c:ec:a1:72:17:8c:da:03:91:e9:8d:7e:30:29:
23:73:90:aa:a8:4e:7f:91:14:f0:10:14:cf:38:ca:
33:61:c8:64:6a:6b:dc:0c:21:82:96:1a:52:f8:c7:
f0:4a:6c:32:0b:7f:29:3e:0e:94:cf:35:a6:c3:88:
48:77
Exponent: 65537 (0x10001)
■csrファイル
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c4:83:6e:a9:20:85:d5:e1:b4:0c:79:41:7b:3f:
28:fb:87:01:aa:55:c8:4f:cb:41:98:86:6f:3d:5e:
d2:4b:c3:83:1b:db:81:63:a8:73:48:99:fa:12:1c:
28:a5:0b:f4:7c:46:0a:58:22:03:d5:4a:8d:ef:52:
ab:66:92:75:60:90:18:ea:4d:41:74:35:b7:de:4a:
87:f3:9f:56:0d:2d:15:be:c7:0d:4c:68:0c:49:ca:
3d:ba:cd:92:e0:63:6a:af:2a:32:b8:8a:78:f8:9f:
9f:a1:80:8d:ce:9b:c9:87:09:74:7b:b4:4b:6e:9f:
14:d1:c7:9b:c5:bb:3d:58:c5:68:65:0f:15:54:7a:
b5:e7:ae:df:81:4e:b0:f5:50:ec:f7:f4:98:80:ec:
08:18:ab:16:fe:81:08:39:67:74:60:56:f2:a8:53:
77:9f:31:f9:c8:86:b1:a0:b9:4a:54:62:25:f7:e6:
e0:d7:84:ce:c8:38:ca:7f:01:ee:30:45:77:29:8c:
ea:c2:e4:b1:c9:01:50:c1:87:0e:2d:0f:47:58:40:
b0:42:51:23:77:92:20:f3:e8:9b:98:8b:17:86:ac:
7c:11:c3:48:a0:cf:46:47:8f:24:7b:30:ef:da:22:
06:1b:97:5f:4a:b1:bd:37:08:8a:24:56:01:bc:c8:
ed:63
Exponent: 65537 (0x10001)
server.key を利用して、server.csr を作って、その csr を元に crt が、作られるので、一致しない場合は、どれかのファイルが間違っていることになります。
よく間違えるのが、crt ファイルに 中間証明書だけを書き込むことだったりしますが、大丈夫でしょうか?
上記、ありがとうございます。一旦、作業手順メモを確認いたします。
先ほど、参考URLが違っていたので、変更しました。
下記URLのとおりにkeyファイル、csrファイル、crtファイルを作成いたしました。
■参考にさせていただいたURL
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2
また、一旦、keyファイルをバックアップを取った上、
openssl rsa -in /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.key/server.key
パスフレーズを指定しないファイルを作成し、service httpd restartを行ったところ、状況が変わりました。
[root@ ssl.key]# systemctl status httpd.service
● httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
Active: active (running) since 火 2018-03-06 14:14:31 JST; 51s ago
Docs: man:httpd(8)
man:apachectl(8)
Process: 1743 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
Main PID: 1771 (httpd)
Status: "Total requests: 3; Current requests/sec: 0; Current traffic: 0 B/sec"
CGroup: /system.slice/httpd.service
├─1771 /usr/sbin/httpd -DFOREGROUND
├─1772 /usr/sbin/httpd -DFOREGROUND
├─1773 /usr/sbin/httpd -DFOREGROUND
├─1774 /usr/sbin/httpd -DFOREGROUND
├─1775 /usr/sbin/httpd -DFOREGROUND
├─1776 /usr/sbin/httpd -DFOREGROUND
└─1777 /usr/sbin/httpd -DFOREGROUND
3月 06 14:14:30 vs.sakura.ne.jp systemd[1]: Starting The Apache HTTP Server...
3月 06 14:14:31 vs.sakura.ne.jp systemd[1]: Started The Apache HTTP Server.
結果が「active(running)」となりましたが、相変わらずブラウザからはhttpsアクセスができませんでした。
ただ、httpアクセスはできるようになりました。
その後、/var/log/httpd/error_logを確認すると、以下のログが出力されていることを確認いたしました。
[Tue Mar 06 14:19:10.491244 2018] [mpm_prefork:notice] [pid 1771] AH00170: caught SIGWINCH, shutting down gracefully
[Tue Mar 06 14:19:11.607342 2018] [suexec:notice] [pid 1803] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Mar 06 14:19:11.646856 2018] [auth_digest:notice] [pid 1803] AH01757: generating secret for digest authentication ...
[Tue Mar 06 14:19:11.647824 2018] [lbmethod_heartbeat:notice] [pid 1803] AH02282: No slotmem from mod_heartmonitor
[Tue Mar 06 14:19:11.698328 2018] [mpm_prefork:notice] [pid 1803] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.6.33 configured -- resuming normal operations
[Tue Mar 06 14:19:11.698393 2018] [core:notice] [pid 1803] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'
おそらくですが、パスフレーズによる問題とは別な原因だと思いますので、調査中です。
記録の為、自己返信します。
その後の調べで、上記のメッセージは全て「notice」なので、apacheそのものは起動しているようです。
そもそも443ポートが開放されているか怪しくなってきたので、
一旦サーバのポート部分を調べています。
記録の為、自己返信です。
ポートの確認と設定を行い、以下のコマンドでポートを開放すると、無事にブラウザからhttpsアクセスが可能になりました。
アクセスの際、ブラウザの接続マークも安全マークが出ることを確認いたしました。
firewall-cmd --permanent --add-service=https
おおむね目立った問題はなくなりましたが、気になるのはservice httpd restartした時のnoticeは出続けるので、最終的にはnoticeも表示されないように調整を行なう予定です。
メモです。
vhost.confの「Mutex default ssl-cache」はコメントアウト済み。
0
必要なモジュールのインストールはしましたでしょうか?
参考にしたURLから、下記拝見していないとお見受けしましたので、こちらご確認ください。
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2
投稿2018/03/06 03:00
総合スコア3404
回答ありがとうございます。
はい。必要なモジュールはインストールいたしました。
root権限の状態で
yum install mod_ssl
yum install openssl
と行いました。
あなたの回答
tips
プレビュー
