私钥和证书报错

私钥和证书报错

“私钥和证书报错”通常指 Web 服务器（如 Nginx、Apache）在加载 SSL/TLS 配置时拒绝启动或返回明确错误，常见于以下三类原因：

• 格式不匹配：私钥与证书的公钥不对应（即非同一密钥对生成），或证书链缺失/顺序错误；可通过 openssl x509 -noout -modulus -in cert.pem | openssl md5 与 openssl rsa -noout -modulus -in key.pem | openssl md5 对比 MD5 值验证是否匹配。
• 编码或换行问题：私钥未以 -----BEGIN RSA PRIVATE KEY-----（PKCS#1）或 -----BEGIN PRIVATE KEY-----（PKCS#8）开头，或含 Windows CRLF 换行、BOM 字节、多余空格；建议用 file key.pem 检查类型，用 dos2unix 清理换行。
• 权限或路径错误：Nginx 要求私钥文件权限 ≤ 0600 且属主为运行用户（如 www-data），Apache 则需确保 SSLCertificateKeyFile 路径可被 httpd 进程读取；SELinux 或 AppArmor 启用时还可能触发访问拒绝（ausearch -m avc -ts recent 可排查）。

典型错误日志示例：
• Nginx：SSL_CTX_use_PrivateKey_file("key.pem") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
• Apache：SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line —— 多因文件内容被截断或编码异常。

需要注意的情况

• 某些 CA（如 Let's Encrypt）签发的证书需拼接中间证书（例如 fullchain.pem），仅部署 cert.pem 会导致浏览器信任链断裂，但该问题一般不触发“私钥报错”，而是表现为证书不受信。
• 使用国密SSL证书（SM2）时，OpenSSL 1.1.1+ 需启用 enable-sm 编译选项，且私钥必须为 SM2 格式（-----BEGIN EC PRIVATE KEY----- 并含 sm2p256v1 OID），普通 RSA 私钥无法加载。
• 若私钥受密码保护（encrypted key），Nginx 不支持运行时输入密码，必须先用 openssl rsa -in key.enc.pem -out key.pem 解密；而 Apache 可通过 SSLPassPhraseDialog exec:/path/to/script 支持动态解密。