SSL продолжает ждать ответа

SSL продолжает ждать ответа

Я пытаюсь настроить HTTPS, но ничего не получается, и я не понимаю, в чем проблема.

Вот шаги, которые я выполнил:

  1. Я сгенерировал .pemсертификат (сертификат + цепочка) сletsencrypt, используя следующую команду:

    sudo -H ./letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory

Ответ приходит следующим образом:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/xxxx.com/fullchain.pem. Your cert
   will expire on 2016-03-07. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
  1. Я сгенерировал закрытый ключ

    sudo openssl req -new -x509 -days 365 -nodes -out /etc/letsencrypt/live/xxxx.com/fullchain.pem -keyout /etc/letsencrypt/live/xxxx.com/fullchain.key

Ниже я вставляю ответ:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:xxxx
Locality Name (eg, city) []:xxxx
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxxx
Organizational Unit Name (eg, section) []:xxxx.com
Common Name (e.g. server FQDN or YOUR name) []:test
Email Address []:[email protected]
  1. Я проверил, что ключ возвращает правильное значение, которое я установил на последнем шаге:

    sudo openssl x509 -in /etc/letsencrypt/live/xxxx.com/fullchain.pem -noout -subject

Ниже я вставляю ответ:

subject= /C=US/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx.com/CN=test/
[email protected]
  1. Я установил новый виртуальный хост, который скопировал ниже:

    <VirtualHost *:443>
      ServerAdmin [email protected]
      DocumentRoot /var/www/html/xxx1/public
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
      ServerName xxxx.com
      SSLEngine on
    
      SSLCertificateFile      /etc/letsencrypt/live/xxxx.com/fullchain.pem
      SSLCertificateKeyFile      /etc/letsencrypt/live/xxxx.com/fullchain.key
    
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
      </FilesMatch>
    
      <Directory /usr/lib/cgi-bin>
        SSLOptions +StdEnvVars
      </Directory>
    
      BrowserMatch "MSIE [2-6]" \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0
        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
    </VirtualHost>
    
  2. Я открыл порт 443 на своем /etc/apache2/ports.conf.

После всех этих шагов я только что сделал, sudo service apache2 restartно консоль просто ждет, пока я получу:

Job for apache2.service failed because the control process exited with error code. See "systemctl status apache2.service" and "journalctl -xe" for details.

и когда я отлаживаю его, journalctl -xeвот что получается:

-- Unit apache2.service has begun starting up.
Dec 08 19:12:20 devXxxx apache2[21637]: * Starting web server apache2
Dec 08 19:12:20 devXxxx apache2[21637]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 100.114.32.17. Set the 'ServerName' directive globally to suppress this mes
Dec 08 19:12:20 devXxxx apache2[21637]: (98)Address already in use: AH00072: make_sock: could not bind to address [::]:443
Dec 08 19:12:29 devXxxx sudo[21613]: pam_unix(sudo:session): session closed for user root
Dec 08 19:12:29 devXxxx polkitd(authority=local)[996]: Unregistered Authentication Agent for unix-process:21628:9475994 (system bus name :1.109, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, loca
Dec 08 19:12:40 devXxxx apache2[21637]: *
Dec 08 19:12:40 devXxxx apache2[21637]: * The apache2 instance did not start within 20 seconds. Please read the log files to discover problems
Dec 08 19:12:40 devXxxx systemd[1]: apache2.service: Control process exited, code=exited status=1
Dec 08 19:12:40 devXxxx systemd[1]: Failed to start LSB: Apache2 web server.
-- Subject: Unit apache2.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit apache2.service has failed.

Посмотрев эти 20 секунд, в течение которых Apache пытается загрузиться, я решил протестировать сертификат, как я подробно описал:

  1. Проверка наличия только 1 сертификата:

    sudo ln -s /etc/letsencrypt/live/xxxx.com/fullchain.pemsudo openssl x509 -hash -noout -in /etc/letsencrypt/live/xxxx.com/fullchain.pem.0

  2. Проверка работоспособности сертификата:

    openssl verify -CApath f6361f65.0

но сюрприз, этого не происходит... терминал продолжает пытаться подключиться без ответа.

Кто-нибудь может мне помочь?

Спасибо за совет.

решение1

Во-первых, похоже, что-то уже привязано к порту 443:

08 дек 19:12:20 devXxxx apache2[21637]: (98)Адрес уже используется: AH00072: make_sock: не удалось привязаться к адресу [::]:443 D

Далее, с Lets Encrypt вам не нужно настраивать собственный закрытый ключ, скрипт должен сгенерировать его для вас (если вы вручную не сгенерируете свой собственный CSR).

После letsencrypt-autoзавершения работы скрипта в каталоге сертификатов должно быть 4 файла.

  • cert.pem- Это ваш сертификат. В Apache SSLCertificateFileдолжен указывать на этот файл.
  • privkey.pem- Это ваш закрытый ключ. СОХРАНЯЙТЕ ЕГО В СЕКРЕТЕ. В Apache SSLCertificateKeyFileдолжен указывать на этот файл.
  • chain.pem- Это цепочка сертификатов, которая устанавливает ваше доверие. В Apache вы можете указать SSLCertificateChainFileна этот файл.
  • fullchain.pem- Это комбинация cert.pemи chain.pem, так что это ваш сертификат и его полная цепочка доверия. В Apache укажите SSLCACertificateFileна этот файл.

Давайте зашифруем документацию

решение2

Для letsencypt эта команда работает у меня без остановки сервера

./letsencrypt-auto certonly --webroot -w /websitedir -d www.domain.com

после этого процесса для nginx вы можете привязать сертификаты.

ln -s privkey.pem /etc/ssl/domain.key
ln -s fullchain.pem /etc/ssl/domain.crt

Связанный контент