এসএসএল ত্রুটি - ফাইল থেকে সার্ভার শংসাপত্রটি পড়তে অক্ষম

37

আমি আজ আমার ডোমেনের জন্য এসএসএল স্থাপন করেছি, এবং অন্য কোনও সমস্যার মুখোমুখি হয়েছি - আমি আশা করছিলাম যে কেউ কেউ কিছুটা আলোকপাত করতে পারে ..

আমি নিম্নলিখিত ত্রুটি বার্তাগুলি গ্রহণ করতে থাকি:

[ত্রুটি] ইনিশ: ফাইল /etc/apache2/domain.com.ssl/domain.com.crt/domain.com.crt থেকে সার্ভার শংসাপত্র পড়তে অক্ষম
[ত্রুটি] এসএসএল লাইব্রেরি ত্রুটি: 218529960 ত্রুটি: 0D0680A8: asn1 এনকোডিং রুটিন: ASN1_CHECK_TLEN: ভুল ট্যাগ
[ত্রুটি] এসএসএল লাইব্রেরির ত্রুটি: 218595386 ত্রুটি: 0D07803A: asn1 এনকোডিং রুটিনগুলি: ASN1_ITEM_EX_D2I: নেস্টেড asn1 ত্রুটি

আমি অ্যাপাচি 2.2.16 এবং উবুন্টু 10.10 চালাচ্ছি। আমার .crt ফাইলটিতে বিগিন এবং এন্ড ট্যাগ রয়েছে এবং আমি যে নিশ্চয়তা ইমেল পেয়েছি তা হুবহু হতাশ হয়ে গেছে!

চিয়ার্স!

সম্পাদনা করুন >> .crt যাচাই করার চেষ্টা করার সময় এটি কাজ করে বলে মনে হয় না:

>> ওপেনএসএল x509 -আউট-টেক্সট -ইন ডোমেইন.কম। সিআরটি 
শংসাপত্র লোড করতে অক্ষম
16851: ত্রুটি: 0906D06C: PEM রুটিনগুলি: PEM_read_bio: কোনও প্রারম্ভিক রেখা নেই: pem_lib.c: 650: প্রত্যাশা: বিশ্বাসযোগ্য শংসাপত্র

এছাড়াও >>

>> ওপেনএসএল x509 -পাঠ-ইনফর্ম পিইএম-ইন ডোমেন ডটকম.সিআরটি
শংসাপত্র লোড করতে অক্ষম
21321: ত্রুটি: 0906D06C: PEM রুটিনগুলি: PEM_read_bio: কোনও প্রারম্ভিক রেখা নেই: pem_lib.c: 650: প্রত্যাশা করা: বিশ্বাসযোগ্য শংসাপত্র

>> ওপেনএসএল x509 -পাঠ-ইনফর্ম ডের-ইন ডোমেন ডটকম.সিআরটি
শংসাপত্র লোড করতে অক্ষম
21325: ত্রুটি: 0D0680A8: asn1 এনকোডিং রুটিনগুলি: ASN1_CHECK_TLEN: ভুল ট্যাগ: Tasn_dec.c: 1316:
21325: ত্রুটি: 0D07803A: asn1 এনকোডিং রুটিনগুলি: ASN1_ITEM_EX_D2I: নেস্টেড অ্যাসন 1 ত্রুটি: তাসন_ডেক.সি: 380: টাইপ = X509

সম্পাদনা করুন >> (উপায় দ্বারা সাহায্যের জন্য চিয়ার্স)

>> গ্রেপ '^ -----' domain.com.crt
----- শুরু করুন শংসাপত্র -----
----- শেষ শংসাপত্র -----

শংসাপত্র সরবরাহকারী সংস্থাটিকে কেবল ইমেল করেছিল, তারা প্রতিক্রিয়া জানায়>

আপনার দেওয়া সিএসআর ফাইলটি আমি যাচাই করেছি এবং আমি নিশ্চিত করতে পারি যে এটি সঠিকভাবে উত্পন্ন হয়েছিল। আপনি বর্তমানে যে ত্রুটির মুখোমুখি হচ্ছেন তা হ'ল কারণ আপনি সিএসআর ইনস্টল করার জন্য একটি ভুল কমান্ড লাইন ব্যবহার করছেন। আপনার কমান্ড লাইন থেকে আপনার ডোমেনের নাম অনুসারে আপনাকে এই ডোমেন ডট কম.ক্রিটটি সংশোধন করতে হবে।

  • বর্তমানে crtটি ​​mysite.com.crt এ সেট আপ করা হয়েছে - আমি উদাহরণ হিসাবে ডোমেইন ডট কম.আর সিআরটি ব্যবহার করেছি
ssl  ssl-certificate 
williamsowen
সূত্র
আপনি দয়া করে আমাদের এর আউটপুট দেখাতে পারেন grep '^-----' domain.com.crt?
কোয়ান্টা
উইলিয়ামসোউন, একটি শংসাপত্রের পুরো পয়েন্টটি আপনার ওয়েবসারভারের সাথে সংযোগকারী যে কাউকে দেখানো হবে; এটি কোনও ব্যক্তিগত জিনিস নয় এটি দেওয়া হয়েছে, আপনি কি এখানে পুরো শংসাপত্র সংযুক্ত করা বা পোস্ট করা বিবেচনা করবেন যাতে আমরা অনুমান না করে সরাসরি এটি দেখতে পারি?
ম্যাথহ্যাটার
স্তব্ধ থাকুন, আমি দেখছি আপনি স্রেফ আমার উত্তরটি গ্রহণ করেছেন এর অর্থ কি এই যে এটি টার্মিনাল উইন্ডোজ লাইনফিড যা সমস্যা তৈরি করেছিল?
ম্যাডহ্যাটার মোনিকা
ম্যাডহ্যাটার - দুঃখিত! এটি নতুন, তবে আমি এটি এখনই কাজ করে চলেছি, আমি যে ইমেলটি পেয়েছি তা থেকে ফরম্যাটিংটি বন্ধ ছিল, আপনাকে ধন্যবাদ ছেলেটিকে যথেষ্ট ধন্যবাদ দিতে পারি না!
উইলিয়ামসোভেন

উত্তর:

49

লাইনগুলি এম-টার্মিনেট করা সম্ভব কি? উইন্ডোজ থেকে ইউনিক্স সিস্টেমে ফাইলগুলি সরানোর সময় এটি একটি সম্ভাব্য সমস্যা। চেক করার একটি সহজ উপায় হ'ল vi"আমাকে বাইনারি দেখান" মোডে ব্যবহার করা vi -b /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt

প্রতিটি লাইন যদি একটি নিয়ন্ত্রণ-এম দিয়ে শেষ হয় তবে এটি

-----BEGIN CERTIFICATE-----^M
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg^M
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wOTEyMTgwMDAwMDBaFw0x^M

আপনি উইন্ডোজ লাইন-টার্মিনেটেড ফর্ম্যাটে একটি ফাইল পেয়েছেন, এবং অ্যাপাচি সেগুলি পছন্দ করে না।

আপনার বিকল্পগুলির মধ্যে আরও যত্ন নেওয়ার সাথে সাথে ফাইলটি আবার সরিয়ে নেওয়া; বা dos2unixকমান্ড ব্যবহার করে তাদের অপসারণ; আপনি যদি সাবধান হন তবে আপনি এগুলি vi এর মধ্যেও সরিয়ে ফেলতে পারেন।

সম্পাদনা করুন : @ ডেভ_থমপসন_0৮৫ এর জন্য ধন্যবাদ, যিনি উল্লেখ করেছেন যে এই উত্তরটি আর 2019 সালে প্রযোজ্য নয় That অর্থাৎ অ্যাপাচি / ওপেনএসএসএল এখন ^ এম-টার্মিনেটেড লাইনের প্রতি সহনশীল, তাই তারা সমস্যা সৃষ্টি করে না। এটি বলেছিল যে, অন্যান্য ফর্ম্যাটিং ত্রুটি, বিভিন্ন মন্তব্যের বিভিন্ন উদাহরণ যা এখনও সমস্যার কারণ হতে পারে; যদি শংসাপত্রটি সিস্টেম জুড়ে সরানো থাকে তবে এগুলির জন্য সাবধানতার সাথে পরীক্ষা করে দেখুন।

ম্যাডহ্যাটার মনিকাকে সমর্থন করে
সূত্র
আমার জন্য এটি একটি অনুলিপি এবং পেস্ট ত্রুটি ছিল, শিরোনামের প্রথম দু'একটি অক্ষর বাদ দিয়ে -----BE... ডাবল চেক করার অনুপ্রেরণার জন্য ধন্যবাদ!
সিএফআই
ধন্যবাদ, এটি আমার সমস্যা ছিল! উইন্ডোতে নোটপ্যাড ++ এ আপনি সঠিক এলএফ ফর্ম্যাট সেট করতে পরিবর্তন করতে EDIT-EOL রূপান্তর কথোপকথনটি ব্যবহার করতে পারেন। এবং আপনি উইন্ডোজ সিআর এলএফ লাইনটি শেষ দেখতে ভিউ-শো সিম্বল মেনুটি ব্যবহার করতে পারেন।
বিজেআরএন
1
আমার শংসাপত্রটি খালি ফাইল হ'ল শেষ হয়েছে। আমার ধারণা প্রজন্মের মধ্যে কিছু ভেঙে গেছে। এই উত্তর আমাকে এটি খুলতে এবং এটি দেখতে উত্সাহিত করেছিল।
ফ্লিকফ্লিফ্লি
উইন্ডোজ ব্যবহারকারীদের জন্য নোট: আপনার উইন্ডোজ থাকা সত্ত্বেও আপনাকে সম্ভবত লাইন ফর্ম্যাটটি ইউনিক্সে রূপান্তর করতে হবে। ডস 2 ইউএনআইএক্স একটি উইন্ডোজ কমান্ড নয়, তবে একটি লিনাক্স। সুসংবাদ, গিট ফর উইন্ডোজ এটি সরবরাহ করে। সিগউইন সম্ভবত এটিও করে তবে এটি সম্পর্কে নিশ্চিত নয়।
ইগনাসিও সেগুরা
উইন্ডোজ ব্যবহারকারীদের কাছে দ্রষ্টব্য: সাইগউইনের সিপি-র সাথে একটি নেটওয়ার্ক শেয়ার থেকে একটি সীমাবদ্ধ-অনুমতি ফাইলটি অনুলিপি করার পরে উইন্ডোজ এক্সপ্লোরারের সম্পত্তি / সুরক্ষা ট্যাবে অনুমতিগুলির একটি তালিকা বিভ্রান্ত হয়ে যায়। উদাহরণস্বরূপ, আমি একটি "NUL SID" দেখেছি, প্রতিবন্ধী প্রত্যেককে এবং ডোমেন ব্যবহারকারীদের এন্ট্রি।
ইয়েল ghEEz
19

শংসাপত্র স্বাক্ষর করার অনুরোধ (সিএসআর) পড়ার চেষ্টা করার সময় এই পৃষ্ঠায় অনুরূপ ত্রুটিযুক্ত আগত প্রত্যেকের জন্য (নোট করুন যে ওপি একটি শংসাপত্রটি পড়ছে): সঠিক ওপেনএসএসএল কমান্ডটি ব্যবহার করার বিষয়টি নিশ্চিত করুন। x509শংসাপত্রগুলির জন্য এবং reqসিএসআরগুলির জন্য:

openssl req -in server.csr -text -noout

বনাম

openssl x509 -in server.crt -text -noout
মার্টিজন ডি মিলিয়ানো
সূত্র
17

এটির চেনাশোনাগুলিতে কেবল চারদিকে ঘুরে বেড়িয়েছে এবং দেখা গেছে আমার কাছে ভুল উপায়ে সার্টিফিকেট রয়েছে - যেমন eg

SSLCertificateFile    /etc/apache2/ssl/server.key
SSLCertificateKeyFile /etc/apache2/ssl/server.crt

পরিবর্তে:

SSLCertificateFile    /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key

আপনি এই ত্রুটিটি পাচ্ছেন কিনা তা পরীক্ষা করার জন্য কিছু thing

অ্যাড্রিয়ান ম্যাকনিল
সূত্র
11 
>> openssl x509 -noout -text -in domain.com.crt 
unable to load certificate
16851:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE

আমি সন্দেহ করি যে শংসাপত্রের ফর্ম্যাটটিতে আপনার সমস্যা আছে।

নিম্নলিখিত দুটি কমান্ড দুটি চালান এবং আমাদের ফলাফল দিন:

openssl x509 -text -inform DER -in domain.com.crt 
openssl x509 -text -inform PEM -in domain.com.crt
কোয়ান্টা
সূত্র
এই উত্তরের জন্য ধন্যবাদ। আমি "এস.এস." হিসাবে ইতিমধ্যে সরবরাহ করা আমার এসএএস ফর্ম্যাটটি নির্ধারণ করতে সক্ষম হয়েছি "। পেম" ছদ্মবেশ
javafueled
10

আমার ক্ষেত্রে, আমি আমার শংসাপত্রের আলাদা আলাদা "-" অক্ষর পেয়েছি। অবশ্যই অ্যাডমিনের একটি অনুলিপি / পেস্ট সমস্যা হওয়া উচিত যা সার্ভারের উপরে শংসাপত্রটি রেখেছিল, পাঠ্য সম্পাদকটি প্রতিস্থাপন করে - সেই পথে একটি বিশেষ ইউনিকোড চরিত্র সহ।

এটি নির্ণয় করতে কয়েক ঘন্টা সময় নিয়েছে এবং শেষ পর্যন্ত আমি এটির জন্য অনুমান করেছি, এবং vi তে শংসাপত্রটি সম্পাদনা করেছি এবং বিদ্যমান "-" অক্ষরগুলি মুছে ফেলেছি এবং সেগুলি পুনরায় টাইপ করেছি।

আশা করি এটি কাউকে সাহায্য করবে।

স্কট ডেভি
সূত্র
8

আমার ক্ষেত্রে, আমি ওপি-র ত্রুটিগুলির মুখোমুখি হয়েছি কারণ যে কেউ আমার জন্য .crt ফাইলটি প্রথম স্থানে তৈরি করেছিল সে সত্যই একটি .PEM বিন্যাসিত ফাইল তৈরি করেছিল এবং এর নাম দিয়েছে .crt।

আমি নিম্নলিখিত সহায়ক গাইডটিতে চালিয়ে এটি আবিষ্কার করেছি: https://support.ssl.com/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how -to-ধর্মান্তরিত-তাদের

আমাকে যা করতে হয়েছিল তা হল আমার .crt এর একটি নাম .pem নামকরণ, এবং আমার কাজ শেষ! গাইডটি ইঙ্গিত করেছে যে ওপি-র প্রশ্নের ত্রুটিগুলি বোঝায় যে ইনপুট ফাইলটি ইতিমধ্যে পিইএম ফর্ম্যাট করা আছে, সুতরাং এটি একটি ডিইআর ফর্ম্যাট থেকে .pem রূপান্তর করার চেষ্টা করা যায় না, এবং বাস্তবে এটি অপ্রয়োজনীয়।

Freya301
সূত্র
4

আপনার ফাইলের শংসাপত্র ফাইলের মধ্যে কোনও চলমান বা শীর্ষস্থান নেই Make পুরো পাঠ্যটি নির্বাচন করে এবং কেবলমাত্র সম্পাদকের পাঠ্যের ফাঁকা জায়গাগুলি সন্ধান করে আপনার শংসাপত্রের ফাইলে কোনও ফাঁকা স্থান বা ফাঁকা স্থান রয়েছে তা সাবধানতার সাথে নিশ্চিত করুন।

এছাড়াও সত্যই কনফিগার করা সমস্ত ফাইল উপস্থিত এবং সঠিক কিনা তা পরীক্ষা করে দেখুন।

উদাহরণস্বরূপ: আপনার অন্য পোস্টে আপনি বলছেন যে আপনার .key ফাইলটির নাম দেওয়া হয়েছে আমার ডোমেইন ডটকম.সিআরটি যখন আপনার ডোমেন কনফিগারেশনে ডোমেন ডট কম রয়েছে।

SSLCertificateFile /etc/apache2/domain.ssl/domain.ssl.crt/domain.com.crt
SSLCertificateKeyFile /etc/apache2/domain.ssl/domain.ssl.key/domain.com.key
SSLCertificateChainFile /etc/apache2/domain.ssl/ca.crt
SSLCACertificateFile /etc/apache2/domain.ssl/gs_intermediate_ca.crt

উপরের সমস্ত ফাইল সত্যই বিদ্যমান এবং বৈধ কিনা তা আবার পরীক্ষা করে দেখুন।

জর্জ তাসিওলিস
সূত্র
1
আপনার ড্যাশগুলি ড্যাশ করছে কিনা তাও পরীক্ষা করে দেখুন। মাইক্রোসফটিয়ান টেক্সট সম্পাদকরা এতে পরিবর্তন --করতে চান ; সমস্যা সমাধানে খুব মজা লাগেনি।
শেন ম্যাডেন
ইয়াপ, যেহেতু আপনি উবুন্টুতে আছেন, কেবলমাত্র একটি টার্মিনাল খুলুন এবং উদাহরণস্বরূপ ন্যানো ব্যবহার করুন। এইভাবে আপনি নিশ্চিত হন।
জর্জ তাসিউলিস
হাই, আপনার ফিড ফিরে আসার জন্য ধন্যবাদ - আমি সবকিছু যাচাই করেছি এবং সব ভাল। আমি CRT ফাইলটি যাচাই করার চেষ্টা করেছি তবে আমি পেয়েছি:sudo openssl x509 -noout -text -in domain.com.crt unable to load certificate 16851:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE
উইলিয়ামসোভেন
1
আপনার ডোমেন.কম.সিআরটি ফাইলের প্রথম লাইনটি কি শুরু হবে -----BEGIN CERTIFICATE-----এবং শেষ লাইনটি শেষ হবে -----END CERTIFICATE-----?
জর্জ তাসিউলিস
1

অন্য কেউ যদি এই সমস্যায় পড়ে এবং আপনার অ্যাপাচি ত্রুটির লগগুলি এমন কিছু বলে থাকে:

উদ্যোগ: ফাইল /etc/apache2/domain.com.ssl/domain.com.crt/domain.com.crt থেকে সার্ভার শংসাপত্র পড়তে অক্ষম

নিশ্চিত হোন যে আপনি নিজের কী এবং শংসাপত্রের ফাইলগুলি অ্যাপাচি কনফিগারেশনের ঘোষণাগুলিতে অদলবদল করেন নি। আমি আমার শংসাপত্রের ফাইলে এবং শংসাপত্রটি আমার কী ফাইলটিতে নির্দেশ করেছি। এই পোস্টটি আমাকে সমস্যাটি সনাক্ত করতে সহায়তা করেছে তবে আমি এটিকে অন্য সম্ভাব্য সমস্যা / সমাধান হিসাবে চিহ্নিত করতে চেয়েছিলাম।

তামাশা
সূত্র
0

আমার সমস্যা (অ্যাপাচি ২.৪ সহ একটি নতুন সার্ভার ইনস্টল করার সময় একই ত্রুটি থাকা) এটি ছিল যে অ্যাপাচি (২.৪) বাইনারি .crt ফাইলটি পড়তে পারে না। আমি এটি আমার ব্যক্তিগত শংসাপত্রের দোকানে (এমএমসি সহ) আমদানি করেছি এবং এটি বেস-base৪ এনকোডেড X.509 (.cer) হিসাবে রফতানি করেছি। রফতানি করা ফাইলটি একই নামে (.crt) (আমার httpd-ssl.conf- এ ব্যবহৃত) এবং নতুনভাবে এটি কাজ করে! একই শংসাপত্রটি আমার পুরানো সার্ভারে কাজ করেছে, অ্যাপাচি ২.৪ এর চেয়ে আরও কড়া 2.2? শুভকামনা।

সজোরে আঘাত
সূত্র
0

আমার ক্ষেত্রে, এটি ফাইলটিতে বিওএম উপস্থিত থাকার সাথে সম্পর্কযুক্ত। এটির মতো কেউ এটি ছিনিয়ে নিতে পারে:

tail -c +4 ssl.crt > ssl2.crt

নিশ্চিত না যে এটি সর্বদা 3 বাইট নেয়, তাই আরও ভাল উপায়টি অবশ্যই:

vi -c 'se nobomb' -c wq ssl.crt
এক্স-ইউরি
সূত্র
0

আমি একই ত্রুটি পেয়েছি কারণ আমি .crt ফাইলের সাথে। কী স্যুইচ করেছি

Tobia
সূত্র
0

এ্যাপা কনফিগারেশনে যখন আমি দুর্ঘটনাক্রমে গ্রাহক দ্বারা সরবরাহ করা p7b টাইপ আইআইএস সার্টিটি ব্যবহার করি তখন আমারও একই সমস্যা হয়েছিল। শংসাপত্রটি x509 ফর্ম্যাটে রূপান্তর করা ত্রুটিটি স্থির করে। উভয় ধরণের পৃষ্ঠের উপর একই চেহারা তবে অভ্যন্তরে দৃশ্যত পৃথক পৃথক।

Uwe
সূত্র
0

আমার এই সমস্যা হয়েছিল কারণ আমাকে একটি আইআইএস-স্টাইল .p7b ফাইলের সামগ্রী ইমেলটিতে আটকানো হয়েছিল। এটিতে "----- শুরু করা শংসাপত্র -----" এবং "----- সমাপ্তি শংসাপত্র -----" ট্যাগ রয়েছে ঠিক যেমন .pem এর মতো, এবং সামগ্রীটিতে অনুরূপ দেখাচ্ছে বেস 64 এনকোডিং ব্যবহার করা হয়েছে। আমি এটিকে * .পিএম ফাইলে রূপান্তরিত করেছি:

openssl pkcs7 -print_certs -in cert.p7b -out cert.cer

এরপরে, অ্যাপাচি ২.২ খুশি হয়েছিল।

ডেরেক
সূত্র
0

উইন্ডোজে লেটস এনক্রিপ্ট (লেটসক্রিপ্ট) ব্যবহার করে সম্প্রতি আমার এই সমস্যাটি হয়েছিল। এই সার্টিটিটি ইউটিএফ -16 এলই হিসাবে এনকোড করে ফিরে এসেছিল। এটি ইউটিএফ -8 এ রূপান্তর করা (ডস 2 ইউনিক্স ব্যবহার করে) সমস্যার সমাধান করেছে।

জেফ হোয়ে
সূত্র
0

আমার ক্ষেত্রে খালি লাইন ছিল। আমি যখন ন্যান্তোপ্যাড বা নোটপ্যাড ++ থেকে ক্র্ট ফাইলটি পেস্ট করেছি তখন সর্বদা স্মিত হয়ে যায়

sdgrgrgr rgregegreg rgrgreg
rgregreg rggregregr rgregrg

খালি জায়গাগুলি অপসারণ এবং একটি লাইন সমস্ত পুটিগ সমস্যার সমাধান যেমন:

sdgrgrgr
rgregegreg
rgrgreg
rgregreg
rggregregr
rgregrg
Teodor
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.