"Zertifikat und privater Schlüssel stimmen nicht überein": mit dem Key Matcher beheben

Wenn Ihr Webserver nach der Installation des SSL-Zertifikats mit "Zertifikat und privater Schlüssel stimmen nicht überein" meldet, sind Sie nicht allein. Es ist einer der häufigsten SSL-Installationsfehler und glücklicherweise einer der am leichtesten zu behebenden. Dieser Leitfaden erklärt, warum der Fehler auftritt, wie Sie ihn mit einem Zertifikat-Schlüssel-Abgleich (Key Matcher) diagnostizieren und Schritt für Schritt lösen.

Was bedeutet dieser Fehler genau?

Jedes SSL-Zertifikat ist mathematisch an genau einen privaten Schlüssel gebunden, der zur selben Zeit erzeugt wurde. Zertifikat und Schlüssel bilden ein Paar: Der modulus des öffentlichen Schlüssels im Zertifikat muss mit dem im privaten Schlüssel identisch sein. Wurde das installierte Zertifikat mit einem anderen Schlüssel erstellt, verweigert der Server den Start und gibt den Fehler aus.

Die genaue Formulierung hängt von der Plattform ab:

  • Apache: "SSLCertificateKeyFile ... does not match certificate" oder "key values mismatch".
  • Nginx: "SSL_CTX_use_PrivateKey_file ... key values mismatch".
  • cPanel / WHM: "The certificate and the private key do not match."

Warum tritt er auf?

Die Ursache ist fast immer dieselbe: Zertifikat und installierter privater Schlüssel stammen aus unterschiedlichen Paaren. Typische Auslöser:

  • Sie haben einen neuen CSR erzeugt (der auch einen neuen Schlüssel erstellt), aber der Server zeigt noch auf den alten Schlüssel.
  • Sie haben CSRs für mehrere Domains oder mehrere Versuche erstellt und die Dateien verwechselt.
  • Das Zertifikat wurde auf einem Server ausgestellt und mit dem falschen Schlüssel auf einen anderen kopiert.
  • Sie haben das Zertifikat neu ausgestellt, aber die passende Schlüsseldatei nicht aktualisiert.

Wie ein Key Matcher funktioniert

Ein Key Matcher sagt Ihnen in Sekunden, ob Ihre Dateien wirklich zum selben Paar gehören. In unserem Key-Matcher-Tool können Sie zwei oder alle drei dieser PEM-Dateien einfügen:

  • Zertifikat (certificate.crt / fullchain.pem)
  • CSR (Certificate Signing Request)
  • Privater Schlüssel (private.key)

Das Tool extrahiert aus jeder Datei den modulus des öffentlichen Schlüssels, berechnet einen kryptografischen Fingerabdruck und vergleicht sie. Gleiche Fingerabdrücke bedeuten, dass die Dateien zusammengehören; unterschiedliche bedeuten verschiedene Paare.

Datenschutz steht an erster Stelle: Der gesamte Vorgang läuft in Ihrem Browser. Ihr privater Schlüssel verlässt niemals Ihren Browser und wird nie auf einen Server hochgeladen. Etwas so Sensibles wie einen privaten Schlüssel in ein beliebiges Online-Tool einzufügen, ist ein ernstes Sicherheitsrisiko; bei unserem Tool besteht dieses Risiko nicht.

Der manuelle openssl-Check

Wer die Kommandozeile bevorzugt, kann denselben Vergleich mit openssl durchführen. Wenn jeder Befehl denselben Hash ausgibt, passen die Dateien zusammen:

openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa  -noout -modulus -in private.key     | openssl md5
openssl req  -noout -modulus -in request.csr     | openssl md5

Sind alle drei Ausgaben identisch, gehören Zertifikat, Schlüssel und CSR zum selben Paar. Der Key Matcher führt genau diese Prüfung visuell durch, ganz ohne Terminal.

So beheben Sie den Fehler

  1. Den richtigen Schlüssel finden. Liegen mehrere .key-Dateien auf dem Server oder in Backups, testen Sie jede im Matcher, bis Sie den zum Zertifikat passenden Schlüssel finden, und tragen ihn in die Serverkonfiguration ein.
  2. Kein passender Schlüssel? Neu ausstellen. Ist der richtige private Schlüssel wirklich verloren, wird das Zertifikat unbrauchbar. Dann müssen Sie einen neuen CSR und einen neuen privaten Schlüssel erzeugen und das Zertifikat neu ausstellen. Unser kostenloser Zertifikats-Assistent stellt in wenigen Minuten ein neues 90-Tage-Let's-Encrypt-Zertifikat aus und lässt Sie Schlüssel und Zertifikat zusammen herunterladen.
  3. Die neuen Dateien prüfen. Lassen Sie vor der Installation das neue Zertifikat und den Schlüssel erneut durch den Matcher laufen, um den korrekten Abgleich zu bestätigen.
  4. Server neu starten. Nachdem die Konfiguration auf die richtigen Dateien zeigt, laden Sie Apache oder Nginx neu; der Fehler verschwindet.

Zusammenfassung

Der Fehler "Zertifikat und privater Schlüssel stimmen nicht überein" erscheint, wenn ein falscher oder veralteter Schlüssel auf dem Server installiert ist. Die Lösung besteht darin herauszufinden, zu welchem Schlüssel Ihr Zertifikat tatsächlich gehört. Unser Key-Matcher-Tool erledigt das in Sekunden, ohne dass ein einziges Byte Ihren Rechner verlässt, und schützt so Ihre Privatsphäre. Lässt sich kein passender Schlüssel finden, ist es am saubersten, ein neues Zertifikat zu erstellen.