Top過去ログ目次掲示板

作成日:2005年08月14日 作成:おやじ
掲示板で過去に質問された内容です。

No.5034 https接続について


No.5034 投稿時間:2005年08月14日(Sun) 12:59 投稿者名:さと URL:
タイトル:https接続について

はじめまして
いつも参考にさせて頂いております。

現在WinXPSP2+Apache2+OpenSSLにて構築中ですが問題がでております。
以前は同じ環境にてApache2(2.0.54)+OpenSSL0.97gで
構築したときにはSSL接続ができました。
http接続もhttps接続も可能でした。

OS環境を入れ直し再度構築したところhttpsでの接続ができなく
なってしまいました。
Apache2も2.0.53にしたりOpenSSLも最新の0.98にしてみたり
0.98fや0.98eにしてみましたが同じ結果でした。
(Apache2とOpenSSLは同じバージョンでそろえています)

Listenも80と443と空けておりnetstat結果もOKです

どうしたらhttpsでの接続が可能になるか、アドバイス
いただけると助かります。

ちなみにWinServer2003Stdでも同じ結果になってしまいます

よろしくお願い致します。


No.5035 投稿時間:2005年08月14日(Sun) 19:32 投稿者名:おやじ URL:
タイトル:クライアントに古いCA証明書が入ってませんか?

> 現在WinXPSP2+Apache2+OpenSSLにて構築中ですが問題がでております。
> 以前は同じ環境にてApache2(2.0.54)+OpenSSL0.97gで
> 構築したときにはSSL接続ができました。
> http接続もhttps接続も可能でした。
>
> OS環境を入れ直し再度構築したところhttpsでの接続ができなく
> なってしまいました。
> Apache2も2.0.53にしたりOpenSSLも最新の0.98にしてみたり
> 0.98fや0.98eにしてみましたが同じ結果でした。
> (Apache2とOpenSSLは同じバージョンでそろえています)
>
> Listenも80と443と空けておりnetstat結果もOKです
>
> どうしたらhttpsでの接続が可能になるか、アドバイス
> いただけると助かります。
>
> ちなみにWinServer2003Stdでも同じ結果になってしまいます

クライアントにCA証明書をインストールしてませんでしたか。
それをそのまま新しいサーバでも使っているならいいのですが、新規に作り直した場合は、おなじサイトが異なる証明書を提示してくるので異常とみなし、IEの場合はつながらなくなります。
適切なエラーメッセージを出してくれればいいのですが、IEは単につながらなくなるだけなので、ほかの問題と区別ができません。
もしそうなら、インスートールした証明書をクライアントから削除してみてください。例のメーセージがでればこれが原因です。FirefoxとかNetscape等のほかのブラウザを入れとくとテストのとき便利です。上記の問題ならGecko系は区別がつきますので、原因はわかるはずです。


No.5036 投稿時間:2005年08月14日(Sun) 23:09 投稿者名:さと URL:
タイトル:Re: クライアントに古いCA証明書が入ってませんか?

ありがとうございます。

> クライアントにCA証明書をインストールしてませんでしたか。
> それをそのまま新しいサーバでも使っているならいいのですが、新規に作り直した場合は、おなじサイトが異なる証明書を提示してくるので異常とみなし、IEの場合はつながらなくなります。
> 適切なエラーメッセージを出してくれればいいのですが、IEは単につながらなくなるだけなので、ほかの問題と区別ができません。
> もしそうなら、インスートールした証明書をクライアントから削除してみてください。例のメーセージがでればこれが原因です。FirefoxとかNetscape等のほかのブラウザを入れとくとテストのとき便利です。上記の問題ならGecko系は区別がつきますので、原因はわかるはずです。

残念ながらクライアントも入れ直しており過去のCA証明書は
存在しないのです。
SSLもクライアント認証は設定しておりません。
それよりもhttpsにしたときだけ認証以前にページにアクセスできないのです(T_T)
証明書
過去に設定したConfを修正してもhttpsだけが接続できないのです。
:443では接続できるのですが(T_T)

クライアントも何台か過去のサイトにアクセスしていないものを
用意しましたがだめでした。Localでも外からもだめでした。

Firefoxでは***.****.***への接続が途中で切断されました。データの一部だけが転送されている可能性があります。
と表示されます。
IEでは表示するページなしとなります

IEの設定の問題でしょうか?

よろしくお願い致します。


No.5037 投稿時間:2005年08月14日(Sun) 23:35 投稿者名:さと URL:
タイトル:Re: クライアントに古いCA証明書が入ってませんか?

確認事項です。

サーバ用の鍵 (server.key) と証明書 (server.crt) は
Apache2のディレクトリのしたに作成したcertsフォルダに
入れればよいですよね?

クライアント認証を行っていないので他にetcフォルダからの
ファイルを移動する必要はあるのでしょうか?

よろしくお願い致します。


No.5038 投稿時間:2005年08月15日(Mon) 01:19 投稿者名:さと URL:
タイトル:Re: クライアントに古いCA証明書が入ってませんか?

お騒がせいたしました。

問題が解決されました。
サービスの起動で「-D SSL」が「-D ssl」になっていたため
SSL接続ができなかったようです。

ご迷惑おかけいたしました。
ありがとうございます。

今後ともよろしくお願いいたします


No.5041 投稿時間:2005年08月15日(Mon) 21:45 投稿者名:おやじ URL:
タイトル:状況把握は正確にしないと・・。

> 問題が解決されました。
> サービスの起動で「-D SSL」が「-D ssl」になっていたため
> SSL接続ができなかったようです。

「-D ssl」では、IfDefineディレクティブの内容と一致しないため無視されるので、普通のApacheとして起動してsyslog(イベントビューア)にも何も残らずSSL起動しません。
従って、一番最初のスレの内容、「Listenも80と443と空けておりnetstat結果もOKです。」ということは、netstatで443があったという事でしょうから話が矛盾するのですが・・・。
netstat で443の有無はSSL起動できているかどうかですから、問題点を追求する観点が全く違いますので注意が必要です。



掲示板▲頁先頭