Apache 2.2 non riesce con "imansible scrivere lo stato random" con il tasto RSA a 2048 bit (1024 bit funziona bene)

Di solito sono abbastanza buone con Apache e OpenSSL, ma questo mi ha completamente sconcertato. Sto eseguendo Apache 2.2.22 e OpenSSL 1.0.1 su un server Ubuntu 12.04 LTS. Ho configurato un host virtuale basato su IP, che reindirizza tutte le richieste HTTP a HTTPS e utilizza una sicurezza di trasporto rigorosa per aiutare a mantenerlo in questo modo.

Sto migrando il sito da un certificato rilasciato da una CA interna a un certificato firmato da StartSSL. Il certificato attuale dispone di un tasto RSA da 1024 bit, il nuovo con un tasto RSA a 2048 bit. Il server dispone di uno o due altri vhost SSL, tutti utilizzati con i tasti da 1024 bit. Il certificato corrente funziona perfettamente.

  • Logwatch: tentativi di connessione utilizzando mod_proxy
  • Possibile chiudere la port 80 e ancora utilizzare la port 443?
  • Determinare l'ambiente di esecuzione di Apache
  • Filtrare le cattive richieste da Apache -> logger -> rsyslog a syslog-ng in un server di logging remoto ansible?
  • Host Virtuali Dinamici In Apache con sottodomini www e non-www
  • variables di ambiente generate da at command
  • Le chiavi di entrambi i certificati sono nella stessa directory, properties; di root e con 600 autorizzazioni (la directory è 710 ). I certificati sono entrambi in una directory diversa, in possesso di root e con 644 permessi (la directory ha 755 ). (Ad esempio, entrambi i tasti sono in /var/ssl/keys e entrambi i certs sono in /var/ssl/certs .)

    Tuttavia, quando cambio la configuration per utilizzare il nuovo certificato (questa è l' unica modifica, non aggiorno il nome host o altro) Apache rifiuta di avviare, dando un errore "imansible scrivere" stato random ". Ho controllato, e non ho nessun file (root-owned o otherwise) .rnd appesi intorno. Se return al certificato 1024-bit, Apache inizia perfettamente e tutto è normale.

    Ho riscontrato questa voce di FAQ , affermando che Apache non support le chiavi a 2048 bit, ma mi sono imbattuto in questo post di blog affermando che la voce FAQ deve essere vecchia (molte delle voci sembrano piuttosto antiche) in quanto funzionano perfettamente Apache 2.2.11.

    Qualcuno può suggerire perché Apache potrebbe fallire con il nuovo certificato?

  • vedere tutti gli host virtuali attivi in ​​nginx?
  • Limitare Apache log su Mac OS X 10.6
  • Come distriggersre la verifica del certificato SSL per il download di RedHat Kickstartfile
  • Come faccio a creare host virtuali per diverse porte su Apache?
  • perché il process nginx funziona con nessuno utente
  • Perché alcuni client web richiedono una pagina denominata "cache"?
  • Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.