Tutoriels

Non concordance entre la clée privée et le certificat SSL

Pour pouvoir acheter un certificat SSL, une requête CSR va vous être demandée. Celle-ci est liée à une clée privée stoquée sur le serveur.
Cette clée privée est composée de deux parties : Les nombres de la clée privées, et ceux de la clée publique.

Les nombres de la clée publique sont intégrées à la requête CSR, puis dans le certificat SSL émis par l'Autorité de Certification.

Pour que le certificat soit utilisable, il faut que le certificat SSL "match" avec la clée privée, car ceux-ci sont directement liés par la clée publique.

 

Erreur : routines:X509_check_private_key:key values mismatch

Ce tutoriel peut vous aider si vous obtenez l'un des messages d'erreurs ci-dessous (liste non exhaustive) :

Apache 2 SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Nginx SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
IIS (Internet Information Services) IMPORT FAILED: CERTIFICATE/KEY MISMATCH

 

Solution : Charger les fichiers correspondants ou ré-émettre le certificat

Comme indiqué ci-dessus, vous avez dû charger un certificat SSL qui ne correspond pas à la clée privée sélectionnée.
Pour s'assurer que la clée privée match avec le certificat SSL, vous devez comparer les empreintes des deux fichiers (modulus).
 

  1. Obtenir l'empreinte du certificat SSL :

    Exécutez la commande ci-dessous sur un serveur linux afin d'obtenir l'empreinte du certificat SSL :

    # Obtenir le modulus du certificat SSL
    openssl x509 -noout -modulus -in www-certificat-ssl-info.cer | openssl md5

    Retour pour le certificat SSL : (stdin)= 884951716e2c03f69351d47a7ff42812
     

  2. Obtenir l'empreinte de la clée privée :

    Exécutez la commande ci-dessous sur un serveur linux afin d'obtenir l'empreinte de la clée privée :

    # Obtenir le modulus de la clée privée RSA :
    openssl rsa -noout -modulus -in www-certificat-ssl-info.key | openssl md5

    Retour pour la clée privée : (stdin)= 516e8ebfa434302b0e87453004f4493d
     

  3. Si vous avez conservé la requête CSR transmise à votre revendeur SSL :

    Exécutez la commande ci-dessous sur un serveur linux afin d'obtenir l'empreinte de la requête CSR :

    # Obtenir le modulus de la requête CSR :
    openssl req -noout -modulus -in www-certificat-ssl-info.csr | openssl md5

    Retour pour la requête CSR : (stdin)= 884951716e2c03f69351d47a7ff42812

 

Si comme dans cet exemple l'empreinte du certificat SSL match avec la requête CSR, mais pas avec la clée privée : Vous avez sélectionné une mauvaise clée privée.
A l'inverse, si la requête CSR match avec la clée privée mais pas avec le certificat SSL, alors le certificat sélectionné n'est pas le bon.


Essayez de retrouver les bons fichiers ou demandez à votre revendeur SSL la ré-émission du certificat SSL sur la base d'une nouvelle requête CSR.
Ainsi, vous obtiendrez une nouvelle clée privée qui concordera avec le certificat SSL ré-émis. Vous pourrez alors installer le nouveau certificat SSL.

 

Notez que chez Wistee.fr, la ré-émission d'un certificat SSL est gratuite. N'hésitez pas à les contacter au 03 44 02 02 15 !

0
Erreur SSLLabs : This server's certificate chain i...
01/10/2016 : Fin des certificats SSL pour les adre...

By accepting you will be accessing a service provided by a third-party external to https://www.certificat-ssl.info/