"Le certificat et la clé privée ne correspondent pas" : résoudre avec un vérificateur de clé

Si votre serveur web vous a accueilli avec "le certificat et la clé privée ne correspondent pas" après l'installation de votre certificat SSL, vous n'êtes pas seul. C'est l'une des erreurs d'installation SSL les plus fréquentes et, heureusement, l'une des plus simples à corriger. Ce guide explique pourquoi l'erreur survient, comment la diagnostiquer avec un vérificateur de clé de certificat et comment la résoudre étape par étape.

Que signifie réellement cette erreur ?

Chaque certificat SSL est lié mathématiquement à une clé privée précise créée en même temps. Le certificat et la clé forment une paire : le modulus de la clé publique contenue dans le certificat doit être identique à celui de la clé privée. Si le certificat que vous avez installé a été généré avec une autre clé, le serveur refuse de démarrer et affiche l'erreur.

Le libellé exact dépend de la plateforme :

  • Apache : "SSLCertificateKeyFile ... does not match certificate" ou "key values mismatch".
  • Nginx : "SSL_CTX_use_PrivateKey_file ... key values mismatch".
  • cPanel / WHM : "The certificate and the private key do not match."

Pourquoi survient-elle ?

La cause est presque toujours la même : le certificat et la clé privée installée proviennent de paires différentes. Les coupables habituels :

  • Vous avez généré un nouveau CSR (qui a aussi créé une nouvelle clé) mais le serveur pointe encore vers l'ancienne clé.
  • Vous avez créé des CSR pour plusieurs domaines ou plusieurs essais et mélangé les fichiers.
  • Le certificat a été émis sur un serveur puis copié sur un autre avec la mauvaise clé.
  • Vous avez réémis le certificat mais oublié de mettre à jour le fichier de clé correspondant.

Comment fonctionne un vérificateur de clé

Un vérificateur de clé vous indique en quelques secondes si vos fichiers appartiennent réellement à la même paire. Dans notre outil Vérificateur de Clé, vous pouvez coller deux ou les trois fichiers PEM suivants :

  • Certificat (certificate.crt / fullchain.pem)
  • CSR (demande de signature de certificat)
  • Clé privée (private.key)

L'outil extrait le modulus de la clé publique de chaque fichier, calcule une empreinte cryptographique et les compare. Des empreintes identiques signifient que les fichiers vont ensemble ; des empreintes différentes indiquent des paires distinctes.

La confidentialité avant tout : tout le processus s'exécute dans votre navigateur. Votre clé privée ne quitte jamais votre navigateur et n'est jamais téléversée vers un serveur. Coller un élément aussi sensible qu'une clé privée dans un outil en ligne quelconque représente un risque de sécurité majeur ; avec notre outil, ce risque n'existe pas.

La vérification manuelle avec openssl

Si vous préférez la ligne de commande, vous pouvez effectuer la même comparaison avec openssl. Lorsque chaque commande affiche le même hash, les fichiers correspondent :

openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa  -noout -modulus -in private.key     | openssl md5
openssl req  -noout -modulus -in request.csr     | openssl md5

Si les trois sorties sont identiques, le certificat, la clé et le CSR appartiennent à la même paire. Le Vérificateur de Clé effectue exactement ce contrôle de manière visuelle, sans aucun terminal.

Comment corriger l'erreur

  1. Trouvez la bonne clé. Si vous avez plusieurs fichiers .key sur le serveur ou dans des sauvegardes, testez chacun dans le vérificateur jusqu'à trouver la clé qui s'apparie avec votre certificat, puis faites pointer la configuration du serveur dessus.
  2. Aucune clé correspondante ? Réémettez. Si la bonne clé privée est réellement perdue, le certificat devient inutilisable. Vous devez alors générer un nouveau CSR et une nouvelle clé privée et réémettre le certificat. Notre assistant de certificat gratuit émet un nouveau certificat Let's Encrypt de 90 jours en quelques minutes et vous permet de télécharger la clé et le certificat ensemble.
  3. Vérifiez les nouveaux fichiers. Avant l'installation, repassez le nouveau certificat et la clé dans le vérificateur pour confirmer leur correspondance.
  4. Redémarrez le serveur. Une fois la configuration pointée vers les bons fichiers, rechargez Apache ou Nginx ; l'erreur disparaîtra.

Résumé

L'erreur "le certificat et la clé privée ne correspondent pas" apparaît lorsqu'une clé incorrecte ou ancienne est installée sur le serveur. La solution consiste à découvrir à quelle clé votre certificat appartient réellement. Notre outil Vérificateur de Clé le fait en quelques secondes sans envoyer le moindre octet hors de votre machine, préservant votre confidentialité. Si aucune clé correspondante n'est trouvée, le plus propre est d'obtenir un nouveau certificat.