Top過去ログ目次掲示板

作成日:2006年12月28日 作成:おやじ
掲示板で過去に質問された内容です。

No.6642 Apache SSLで起動エラー


No.6642 投稿時間:2006年12月28日(Thu) 23:28 投稿者名:kent URL:
タイトル:Apache SSLで起動エラー

こんにちわ。おやじさん、掲示板の皆様。
kentです。ご無沙汰しています。
sslにて暗号化通信をしたくて取り組んでいます。
しかし、Apacheを起動するとエラーとなりシステムログを見ると
イベントID7024と表示されてます。
当方の環境は以下のとおりです。
OS Win2000Pro SP4
Apache_2.0.58-Openssl_0.9.8a-Win32
Win32OpenSSL-0_9_8d
ActivePerl-5.8.8.817

おやじさんのApache+SSLを参考に設定しました。
内容は以下の通りです。
「CA.pl -newca
openssl x509 -in ./demoCA/cacert.pem -out ./demoCA/cacert.crt
openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der
CA.pl -newreq-nodes
CA.pl -sign

「ON(Organization NameはCA証明書とサーバ証明書を異なる名前にしています。」

openssl x509 -in newcert.pem -out server.crt
md server
move *.pem server
move *.crt server
httpd.confは、以前におやじさんの設定を参考にして設定しています。
ssl.confの変更箇所
#SSLMutex は同じところが無いのとサボート外の為に変更してません
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "D:/home/user"
ServerName www.kes-net.com:443
ServerAdmin web@xxx.com
ErrorLog logs/error_log
TransferLog logs/access_log

SLCertificateFile C:/Apache2/certs/server.crt   109行
SSLCertificateKeyFile C:/Apache2/certs/newkey.pem 117行
当方は通信を暗号化(httpsでのアクセス)するだけですから設定していませ。
Apavhe2\cretsにserver.crt,newkey.pemをコピー
apache -k installにてサービスインストール」
その後エラーになってしまいます。
年末でお忙しいと思いますが、よろしくお願いします。


No.6643 投稿時間:2006年12月29日(Fri) 05:48 投稿者名:おやじ URL:
タイトル:BBSへのコピペミスがあるようで絞込みできません。

おやじがイメージするHTTPSが動くためのチェックポイントとここに上がっている情報から判断すると3箇所の疑問点があります。単にここへのコピーミスなのかどうかが判断しかねますので、インラインで気がついた事だけ上げておきます。
なお、BBSにコピペミスをされてしまうと、論理的な問題点の絞込みができなくなってしまい、全く関係ないほうに話がいってしまう可能性もあるので、なるべく正確に記載してくれると解決が早いです。

> sslにて暗号化通信をしたくて取り組んでいます。
> しかし、Apacheを起動するとエラーとなりシステムログを見ると
> イベントID7024と表示されてます。

ID7024なら、Apacheにエラーログは出ていませんか?

> 当方の環境は以下のとおりです。
> OS Win2000Pro SP4
> Apache_2.0.58-Openssl_0.9.8a-Win32
> Win32OpenSSL-0_9_8d
> ActivePerl-5.8.8.817
>
> おやじさんのApache+SSLを参考に設定しました。
> 内容は以下の通りです。
> 「CA.pl -newca
> openssl x509 -in ./demoCA/cacert.pem -out ./demoCA/cacert.crt
> openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der
> CA.pl -newreq-nodes
> CA.pl -sign
>
> 「ON(Organization NameはCA証明書とサーバ証明書を異なる名前にしています。」
>
> openssl x509 -in newcert.pem -out server.crt
> md server
> move *.pem server
> move *.crt server
> httpd.confは、以前におやじさんの設定を参考にして設定しています。
> ssl.confの変更箇所
> #SSLMutex は同じところが無いのとサボート外の為に変更してません
> <VirtualHost _default_:443>
> # General setup for the virtual host
> DocumentRoot "D:/home/user"
> ServerName www.kes-net.com:443
> ServerAdmin web@xxx.com
> ErrorLog logs/error_log
> TransferLog logs/access_log
>
> SLCertificateFile C:/Apache2/certs/server.crt   109行
> SSLCertificateKeyFile C:/Apache2/certs/newkey.pem 117行
> 当方は通信を暗号化(httpsでのアクセス)するだけですから設定していませ。

1点目。ここは、その上の2行を設定していないということですか? そうであれば大きな勘違いというか、証明書や鍵がなくては暗号化しようがありませんから設定が必要。
2点目。実際は設定してあるのにこういっているだけなら、上の行の頭に「S」が1個足りない。これは、他の状況からするとBBSへの書込みミスと思いますが、これも同じエラーID7024になるはず。

SSLCertificateFile C:/Apache2/certs/server.crt   109行
^

> Apavhe2\cretsにserver.crt,newkey.pemをコピー
> apache -k installにてサービスインストール」

3点目。HTTPSサポート時に重要な「-D SSL」の追加について記載がない。しかし、これがなければそもそもSSL起動しないので普通に起動するため、これは単純にBBSに書き込んでいないだけと想定。

> その後エラーになってしまいます。


No.6644 投稿時間:2006年12月30日(Sat) 16:14 投稿者名:kent URL:
タイトル:Re: BBSへのコピペミスがあるようで絞込みできません。

こんにちわ。おやじさん、掲示板の皆様。
パソコンおやじさん、記載ミスがありまして申し訳御座いません。
改めて記載致します。

sslにて暗号化通信をしたくて取り組んでいます。
しかし、Apacheを起動するとエラーとなりシステムログを見ると
イベントID7024と表示されてます。
当方の環境は以下のとおりです。
OS Win2000Pro SP4
Apache_2.0.58-Openssl_0.9.8a-Win32
Win32OpenSSL-0_9_8d
ActivePerl-5.8.8.817

おやじさんのApache+SSLを参考に設定しました。
内容は以下の通りです。
「CA.pl -newca
openssl x509 -in ./demoCA/cacert.pem -out ./demoCA/cacert.crt
openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der
CA.pl -newreq-nodes
CA.pl -sign

「ON(Organization NameはCA証明書とサーバ証明書を異なる名前にしています。」

openssl x509 -in newcert.pem -out server.crt
md server
move *.pem server
move *.crt server
httpd.confは、以前におやじさんの設定を参考にして設定しています。
ssl.confの変更箇所
#SSLMutex は同じところが無いのとサボート外の為に変更してません
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "D:/home/user"
ServerName www.kes-net.com:443
ServerAdmin web@xxx.com
ErrorLog logs/error_log
TransferLog logs/access_log

SSLCertificateFile C:/Apache2/certs/server.crt   109行
SSLCertificateKeyFile C:/Apache2/certs/newkey.pem 117行
当方は通信を暗号化(httpsでのアクセス)するだけですから上記以外は設定していませ。
Apavhe2\cretsにserver.crt,newkey.pemをコピー
apache -k installにてサービスインストール」
「-D SSL」を付け加えてます。
その後エラーになってしまいます。

>ID7024なら、Apacheにエラーログは出ていませんか
Apacheにエラーログは出ていませんでした。

年末でお忙しいと思いますが、よろしくお願いします。


No.6645 投稿時間:2006年12月31日(Sun) 06:39 投稿者名:おやじ URL:
タイトル:切り分け用の証明書でやってみてください。

> パソコンおやじさん、記載ミスがありまして申し訳御座いません。
> 改めて記載致します。

おやじの指摘事項は全て記載ミスのようなので、それを除外するとここに記載していただいた内容で動かない理由はありません。
そうなるとこのケースで一番多いのが、証明書の作成を一回でうまくいかずそのままやり直している場合です。
失敗したら、作業ディレクトリ配下を全て削除して最初からやり直してみてください。上書きでうまくいかない経験があります。
因みに、下記にテスト用にexample.comで作成した証明書と鍵を置いておきますので、これを適当な場所にダウンロード(コピペ)してください。ssl.confでそれを指定してうまくApacheが起動できれば作成した証明書がおかしいということになります。起動できれば、最初に警告がでますが(自己署名とcnがwww.example.comのため)、ちゃんとHTTPSでアクセスできるはずです。
逆に起動できないなら、ssl.confの設定にミスがあります。

http://www.aconus.com/~oyaji/www/server_crt
http://www.aconus.com/~oyaji/www/newkey_pem


No.6647 投稿時間:2007年01月01日(Mon) 00:03 投稿者名:kent URL:
タイトル:Re: 切り分け用の証明書でやってみてください。

こんにちは、パソコンおやじ様 掲示板の皆様
わざわざ配置して頂きましてありがとう御座いました。
結論から申しますとエラーが直りませんでした。

証明書の作成を一回で行っています。
途中失敗すると「etc」配下を削除してやり直しています。
今、「server.crt,newkey.pem」は当方作成した物に戻しています。

Apache+SSLの設定内の「クライアント用証明書の作成」までのSSL用証明書等の作成に
おいてcacert.pemが作成されているのが気がつきました。
「SSLCACertificatePath c:/Apache/certs
 SSLCACertificateFile c:/Apache/certs/cacert.pem
 SSLVerifyClient require
 SSLVerifyDepth 1」
「証明書失効リストの指定」は設定していません。
上記を設定して起動すると無事に起動しました。
「netstat -an」で確認すると[80]と[443]が存在します。
しかし、おやじさんのご説明と異なっていますのでどうなるのか解りま
せんがこれから試してみます。

ご指導有難う御座いました。


No.6648 投稿時間:2007年01月01日(Mon) 01:17 投稿者名:おやじ URL:
タイトル:切り分け用の証明書でだめなら設定がおかしいです。

> わざわざ配置して頂きましてありがとう御座いました。
> 結論から申しますとエラーが直りませんでした。

ということは、前に書いたとおりssl.confの設定がおかしいです。下記でクライアント認証関係の設定を追加してうまくいったとのことですが、本来、全く関係ないのでここの設定は不要であり、現におやじの環境では設定しなくても何も問題は発生していません。
ssl.conf見せてくれませんか? コメント行を全て消してください。隠蔽したいところはxxx等で置き換えても結構ですが、変に書き換えられる(同じものが違う表現になっている等)と意味がわからなくなるので最小限にしてください。

> 証明書の作成を一回で行っています。
> 途中失敗すると「etc」配下を削除してやり直しています。
> 今、「server.crt,newkey.pem」は当方作成した物に戻しています。
>
> Apache+SSLの設定内の「クライアント用証明書の作成」までのSSL用証明書等の作成に
> おいてcacert.pemが作成されているのが気がつきました。
> 「SSLCACertificatePath c:/Apache/certs
>  SSLCACertificateFile c:/Apache/certs/cacert.pem
>  SSLVerifyClient require
>  SSLVerifyDepth 1」
> 「証明書失効リストの指定」は設定していません。
> 上記を設定して起動すると無事に起動しました。
> 「netstat -an」で確認すると[80]と[443]が存在します。
> しかし、おやじさんのご説明と異なっていますのでどうなるのか解りま
> せんがこれから試してみます。


No.6650 投稿時間:2007年01月01日(Mon) 12:29 投稿者名:kent URL:
タイトル:Re: 切り分け用の証明書でだめなら設定がおかしいです。

パソコンおやじ 様 掲示板の皆様方
新年明けましておめでとう御座います。
本年もよろしくご指導の程お願い致します。
ssl.confを見て頂けるのですね。
嬉しい限りです。

以下の内容が変更した個所です。

<VirtualHost _default_:443>

# General setup for the virtual host
DocumentRoot "D:/home/user"
ServerName www.kes-net.com:443
ServerAdmin web@kes-net.com
ErrorLog logs/error_log
TransferLog logs/access_log

# Server Certificate:
SSLCertificateFile C:/Apache2/certs/server.crt
#SSLCertificateFile conf/ssl.crt/server-dsa.crt

# Server Private Key:
SSLCertificateKeyFile C:/Apache2/certs/newkey.pem
#SSLCertificateKeyFile conf/ssl.key/server-dsa.key

# Server Certificate Chain:
#SSLCertificateChainFile conf/ssl.crt/ca.crt

# Certificate Authority (CA):
#SSLCACertificatePath conf/ssl.crt
#SSLCACertificateFile conf/ssl.crt/ca-bundle.crt
SSLCACertificatePath c:/Apache2/certs
SSLCACertificateFile c:/Apache2/certs/cacert.pem
</VirtualHost> 」
新年早々申し訳御座いませんがよろしくご指導お願いします。


No.6651 投稿時間:2007年01月01日(Mon) 14:25 投稿者名:おやじ URL:
タイトル:設定で問題があるようには見えません。

> 新年明けましておめでとう御座います。
> 本年もよろしくご指導の程お願い致します。

こちらこそよろしくお願いいたします。

> ssl.confを見て頂けるのですね。
> 嬉しい限りです。
>
> 以下の内容が変更した個所です。

基本的には、下記設定で問題があるようには見えません。
証明書関係以外では、 DocumentRoot、ServerName、ServerAdmin を触っているようですが、これらはデフォルトままで、環境に一致していなくてもSSLが起動しない理由にはなりません。また、Certificate Authority (CA)関係も設定不要です。
従って、ssl.conf をssl.conf.bak とでもリネームしてバックアップし、デフォルトの ssl.default.conf をssl.conf としてコピーして、SSLCertificateFile と SSLCertificateKeyFileだけパスを変更してください。
なお、証明書と鍵は下記からおやじのテスト用をダウンロードしなおしてください。
先の場合は、ダウンロードではなくブラウザ上でコピペになったと思いますので、もう一度ダウンロードしなおしてください。(server.crtはserver.cerという拡張子になるかもしれないので、crtにリネームしてください。)
これで、起動しないとなると??? 原因はわかりません。

http://www.aconus.com/~oyaji/www/server.crt
http://www.aconus.com/~oyaji/www/newkey.pem

> 「
> <VirtualHost _default_:443>
>
> # General setup for the virtual host
> DocumentRoot "D:/home/user"
> ServerName www.kes-net.com:443
> ServerAdmin web@kes-net.com
> ErrorLog logs/error_log
> TransferLog logs/access_log
>
> # Server Certificate:
> SSLCertificateFile C:/Apache2/certs/server.crt
> #SSLCertificateFile conf/ssl.crt/server-dsa.crt
>
> # Server Private Key:
> SSLCertificateKeyFile C:/Apache2/certs/newkey.pem
> #SSLCertificateKeyFile conf/ssl.key/server-dsa.key
>
> # Server Certificate Chain:
> #SSLCertificateChainFile conf/ssl.crt/ca.crt
>
> # Certificate Authority (CA):
> #SSLCACertificatePath conf/ssl.crt
> #SSLCACertificateFile conf/ssl.crt/ca-bundle.crt
> SSLCACertificatePath c:/Apache2/certs
> SSLCACertificateFile c:/Apache2/certs/cacert.pem
> </VirtualHost> 」
> 新年早々申し訳御座いませんがよろしくご指導お願いします。


No.6654 投稿時間:2007年01月02日(Tue) 23:59 投稿者名:kemt URL:
タイトル:Re: 設定で問題があるようには見えません。

こんばんわ。パソコンおやじ様 皆様方。
新年早々のご指導誠に有り難う御座います。

> 基本的には、下記設定で問題があるようには見えません。
> 証明書関係以外では、 DocumentRoot、ServerName、ServerAdmin を触っているようで>>すが、これらはデフォルトままで、環境に一致していなくてもSSLが起動しない理由には>なりません。また、Certificate Authority (CA)関係も設定不要です。
> 従って、ssl.conf をssl.conf.bak とでもリネームしてバックアップし、デフォルトの> ssl.default.conf をssl.conf としてコピーして、SSLCertificateFile と SSLCertifi>cateKeyFileだけパスを変更してください。

> なお、証明書と鍵は下記からおやじのテスト用をダウンロードしなおしてください。
> 先の場合は、ダウンロードではなくブラウザ上でコピペになったと思いますので、もう>一度ダウンロードしなおしてください。(server.crtはserver.cerという拡張子になる
>かもしれないので、crtにリネームしてください。)
> これで、起動しないとなると??? 原因はわかりません。
>
> http://www.aconus.com/~oyaji/www/server.crt
> http://www.aconus.com/~oyaji/www/newkey.pem

結論から申しますと上記の通りにするとエラーがなくなり無事に起動しています。
ただ、別PC(XP SP2)においての起動確認です。
エラーしているPCでは直っていません。
別PCを用意してWin2000 SP4にて確認致します。
このままだと気持ち悪いので原因を確かめたいと思います。

どうも有り難う御座いました。


No.6655 投稿時間:2007年01月03日(Wed) 10:40 投稿者名:おやじ URL:
タイトル:確実に何が原因なのか切り分けておいたほうが良いですよ。

> > 基本的には、下記設定で問題があるようには見えません。
> > 証明書関係以外では、 DocumentRoot、ServerName、ServerAdmin を触っているようで>>すが、これらはデフォルトままで、環境に一致していなくてもSSLが起動しない理由には>なりません。また、Certificate Authority (CA)関係も設定不要です。
> > 従って、ssl.conf をssl.conf.bak とでもリネームしてバックアップし、デフォルトの> ssl.default.conf をssl.conf としてコピーして、SSLCertificateFile と SSLCertifi>cateKeyFileだけパスを変更してください。
>
> > なお、証明書と鍵は下記からおやじのテスト用をダウンロードしなおしてください。
> > 先の場合は、ダウンロードではなくブラウザ上でコピペになったと思いますので、もう>一度ダウンロードしなおしてください。(server.crtはserver.cerという拡張子になる
> >かもしれないので、crtにリネームしてください。)
> > これで、起動しないとなると??? 原因はわかりません。
> >
> > http://www.aconus.com/~oyaji/www/server.crt
> > http://www.aconus.com/~oyaji/www/newkey.pem
>
> 結論から申しますと上記の通りにするとエラーがなくなり無事に起動しています。
> ただ、別PC(XP SP2)においての起動確認です。
> エラーしているPCでは直っていません。
> 別PCを用意してWin2000 SP4にて確認致します。
> このままだと気持ち悪いので原因を確かめたいと思います。

気持ち悪いというより、確実に何が原因なのか切り分けておいたほうが良いですよ。
そうしないと、せっかくここまで苦労したことが水の泡になって、いざという時に再インストールしたり新規にインストールしたとき確実に動かせる再現性がないので、また動かない騒ぎになりかねませんから。
自分のサーバは、そのサーバ固有条件もあり、最終的には自分でしか動かせないので良く調べておいたほうが良いです。
おやじのサイトのとおりやっても駄目なことも有り得ます。どこかのサイトの情報を見て設定し動いてもあまり意味がなく、自分なり肝を押さえていかないといざというときに役に立ちませんから。
例えば、「Perl.exe "%s" %s 」を加えると云々という情報がありますが、これなどは典型的な例です。
Windwsしか触っていないと気がつかないのでいいかげんになってしまうのが、大文字・小文字の区別(ex. Perl.exe -> perl.exe)、不要なダブルクオーテーション「"%s" %s -> %s %s」、何故「%s %s」と引数が2ついるのか? 等々です。


No.6717 投稿時間:2007年02月03日(Sat) 23:29 投稿者名:kent URL:
タイトル:Re: 確実に何が原因なのか切り分けておいたほうが良いですよ。

こんばんわ。 おやじ 様
遅れまして申し訳御座いません。
同じエラー状態に持ち込んで色々と試してみました。
結果、どうも以前に使っていたエディターが原因かと思います。
ファイルをFDDに落として他のパソコンでPC/AT版SE*にて
編集していました。
今、秀丸を使っていますが、どうも慣れません。
エラーは解決していますので慣れるしかありませんが

有り難う御座いました。



掲示板▲頁先頭