>问题:
nginx希望格式化其.pem/.crt和.key文件的方式有什么特别之处吗? 我无法让 nginx 运行...它总是抱怨证书/密钥文件。
问:
有人想在工作正常的(非生产)系统上与我共享他们的 .pem/crt 和 .key 文件的(经过净化)副本吗? 或者告诉我我做错了什么(见下文)
错误:
在配置 nginx.conf 指向 ssltest.cuddletech.com 之后。CRT并将 .crt(和密钥)文件存放在/nginx/servers 中...然后运行nginx启动服务器,出现以下错误:
nginx: [emerg] unexpected end of file, expecting ";" or "}" in /usr/local/etc/nginx/servers/ssltest.cuddletech.com.crt:63
故障排除:'
如果我进入并在文件末尾放一个;(紧接在第二个
-----END CERTIFICATE-----;之后(它是一个包含叶子和中间 ca 的捆绑包)。 现在,它不再抱怨意外的结局,而是抱怨:
nginx: [emerg] unknown directive "-----BEGIN" in /usr/local/etc/nginx/servers/ssltest.cuddletech.com.crt:62
如果我然后进入并删除 -----BEGIN 部分,它继续抱怨未知指令......这次从编码证书的前几个字符开始。
有趣的是,如果我将文件类型更改为.pem(保留末尾的 ;,并更新 nginx.conf 以查找 .pem)。 现在,它根本不抱怨证书文件,而是开始以同样的方式抱怨KEY文件:
$ nginx: [emerg] unexpected end of file, expecting ";" or "}" in /usr/local/etc/nginx/servers/ssltest.cuddletech.com.key:28
将;或}放在.key文件的末尾会让nginx抱怨:
nginx: [emerg] unknown directive "-----BEGIN" in /usr/local/etc/nginx/servers/ssltest.cuddletech.com.key:27
同样有趣的是,它两次抱怨-----BEGIN时,它都会在文件的末尾而不是开头指示行号。
我如何生成证书和密钥文件:
我使用 Hashicorp 的 Vault PKI 后端生成了证书(根据本操作指南)
我将叶子和中间证书剪切并粘贴到一个文件中,将私钥剪切并粘贴到另一个文件中。
它们看起来像这样:
证书捆绑包:
-----BEGIN CERTIFICATE-----
MIIE/DCCAuSgAwIBAgIUIKX6kkLIidtRvnx0nafFH9SunaIwDQYJKoZIhvc
NAQELBQAwKTEnMCGA1UEAxMeQ3VkZGxldGVjaCBPcHMgSW50ZXJtZWRpYXRlIENBMB4X
DTE3MDkwOTAwMTgxNVoXDTE3MTAwOTAwMTg0NVowITEfMB0GA1UEAxMWc3NsdGVz
....
NW9I2ThBDp0uo7LcIO7hmHhNun6apGSlgf6Gj1L63dp
Fe+hoQpCNOGfoc2P+4uJZenqiax5dFqskiBVkQ7uyVFxf5ydF5pjzwF/QFFcKKok
SkRjCJmrVxD/7V6H8u+hSRJuXGXNIIuhhUmYhWoNZpnZEUyDPOuMWHjxq7ZfPHlO
A039BhLFI0msEBfk+DunhYA+xyBIhK0Lq3pqcc7zH9A=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFpTCCA42gAwIBAgIUbXR6po8/oWmxgTVYuhxHDAM1prUwDQYJKoZIhvcNAQEL
BQAwHTEbMBkGA1UEAxMSQ3VkZGxldGVjaCBSb290IENBMB4XDTE3MDkwODIyNTI0
OFoXDTE4MDkwODIyNTMxOFowKTEnMCUGA1UEAxMeQ3VkZGxldGVjaCBPcHMgSW50
.....
ZXJtZWRpYXRlIENBMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAwuTe
h9gpV4RcibYNOptsDJHomUZaEkRs3ppGt1asnM5os7L17ExFS8PLSY0SbhB75Vo1
TLlgH2MkDGHbw5bcgY0fYXvKqk1y6JjLFBnmiGHe8mHt9XaWkbnwP/E7CttGr2GC
SaT7RxDN2pHXceTnmLOiz0Dk1ZpssldMVD1MQeSQspuBp9s2sWfXtkrLluPLOZH0
C1WXl+H/7giQggXPmMVLhnxPaaAwU0DNX0IZjzE1fqazBbrx36n7baVdUgRczkD2
Xiht8pnAdbUFdp8byeupDkPJ2vLyMLocvSO6z1m4+drXlgFPBLSgKXGvnw5A8b+S
dqKRe55MBNxpws0E4OjMVwVXlMctcLCogmx6jFYjWSJUQgKLHCi2JVWW6ajlKOfV
Gn/opA11kWKb
-----END CERTIFICATE-----
私钥文件:
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAyWnbF5T5vIlrcVHG82S+u/GESnlhAiX6maUYmpQMVOGsmjWr
XOKFGQbFW796FgENrt1PzXlYT8/aKyT215KomxkC4bWV0daobC5p+fzusVyV51Si
.....
smzFwxewOYa4FU3KGgRlscBooaRumwpXid3IPwfsBzOCdNQ8zXyaqSZeStewxUBq
ZtMEDpD3q7noZQU85cQs4SlbOOscXEUMUaeKQDhC2FWW9qlM5NKU
-----END RSA PRIVATE KEY-----
nginx.conf 的 HTTPS 服务器部分
# HTTPS server
#
server {
listen 443 ssl;
server_name ssltest.cuddletech.com;
ssl_certificate /usr/local/etc/nginx/servers/ssltest.cuddletech.com.pem;
ssl_certificate_key /usr/local/etc/nginx/servers/ssltest.cuddletech.com.key;
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
location / {
root /user/share/nginx/html;
index index.html index.htm;
}
}
include servers/*;
}
我的设置:
Mac OS X 10.12.6 nginx版本:nginx/1.12.1 由 Clang 8.1.0 (CLANG-802.0.42) 构建 使用 OpenSSL 1.1.0f 构建 2017年5月25日 已启用 TLS SNI 支持
TIA有任何建议!!
您的问题我们include servers/*;语句。您将服务器目录中的所有内容都作为配置包含在内。因此,证书也作为配置加载
将其更改为
include servers/*.conf;
或者,如果没有您要包含的配置,请将其删除