HTTPSサイトが起動しない

job

新規に仮想ホストでHTTPS対応のサイトを立ち上げ。機密鍵と、中間証明書、サーバ証明書を適当に指定してapacheを起動するとこんなエラーログを吐いて立ち上がらない。

[Wed Jun 13 13:29:56.028149 2018] [ssl:error] [pid 15197:tid 139938700863296] AH02578: Init: Unable to read pass phrase [Hint: key introduced or changed before restart?]
[Wed Jun 13 13:29:56.028239 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag
[Wed Jun 13 13:29:56.028263 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:0D08303A:asn1 encoding routines:asn1_template_noexp_d2i:nested asn1 error
[Wed Jun 13 13:29:56.028277 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag
[Wed Jun 13 13:29:56.028292 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:0D07803A:asn1 encoding routines:asn1_item_embed_d2i:nested asn1 error (Type=RSA)
[Wed Jun 13 13:29:56.028308 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:04093004:rsa routines:old_rsa_priv_decode:RSA lib
[Wed Jun 13 13:29:56.028321 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag
[Wed Jun 13 13:29:56.028336 2018] [ssl:error] [pid 15197:tid 139938700863296] SSL Library Error: error:0D07803A:asn1 encoding routines:asn1_item_embed_d2i:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Wed Jun 13 13:29:56.028361 2018] [ssl:emerg] [pid 15197:tid 139938700863296] AH02564: Failed to configure encrypted (?) private key hoge:443:0, check /usr/local/apache2/conf/ssl/server.key

中間証明書とサーバ証明書は発行社からきたもので、秘密鍵ファイル(server.key)は発行時にこちらで作成したもの。エラーログをみるとどうもその秘密鍵ファイルが悪いみたい。パスフレーズが読めないとか(Unable to read pass phrase)、へんなタグがついてるぞとか。
そういえば、この秘密鍵作成したときに適当につけたパスフレーズがあったような。opensslで確認すると確かについてる。まぁopensslを使わなくてもファイルの中をみて、うえの方にこんな行があればそれはパスフレーズで暗号化されている秘密鍵ファイル。

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8FB360095C93152E

hatON50kl3mHz0SRELn587/HTg4bTS6WtIfIBD26gJnD/IYyhLt805wQjRhk8+7f
cIAOyRWpGFh//KymFwPokcbNJa2AKKqrpdjpJt14crWvcit2hYPWdQlTXcIt/vuL
XZoDwDUPMrQmXl6oGU5gBF1SmHAbeywc1R7Zcm/mJdkSqJED+yzOPB6RUqYOS2y4
(後略)

パスフレーズを抜くには以下。

# openssl rsa -in ssl.key -out nopass_ssl.key

ファイルの中身からProc-Typeとか、DEK-Infoとかの行がきえていればOK。
このファイルをSSLCertificateKeyFileで指定して立ち上がるようになりました。