我通常用Apache和OpenSSL很好,但是这个让我完全困惑。 我在Ubuntu 12.04 LTS服务器上运行Apache 2.2.22和OpenSSL 1.0.1。 我configuration了一个基于IP的虚拟主机,将所有HTTP请求redirect到HTTPS,并使用严格的传输安全性来帮助保持这种状态。
我将该站点从内部CA颁发的证书迁移到由StartSSL签名的证书。 当前的证书有一个1024位的RSA密钥,新的有一个2048位的RSA密钥。 服务器有一个或两个其他SSL虚拟主机,所有这些都使用1024位密钥。 目前的证书工作完美。
两个证书的密钥都在同一个目录中,拥有600权限(目录为710 )。 证书都在不同的目录中,拥有644权限(目录有755 )。 (例如,两个键都在/var/ssl/keys ,两个都在/var/ssl/certs 。
然而,当我改变configuration使用新的证书(这是唯一的改变,我不更新主机名或其他)Apache拒绝启动,给“无法写入随机状态”的错误。 我已经检查过了,我没有任何(根拥有的或其他) .rnd文件在附近。 如果我更改回到1024位证书,Apache启动完美,一切正常。
我遇到了这个FAQ条目 ,指出Apache不支持2048位密钥,但是我也遇到了这个博客文章,指出FAQ条目必须是旧的(许多条目似乎相当古老),因为它完美的工作Apache 2.2.11。
任何人都可以提出为什么Apache可能会失败,新的证书?