おやじ様
サイトの運用管理ご苦労様です。
いつも困った時に利用させて頂いております。
今回はタイトルの件で助言頂きたく投稿させて頂きます。
SSL用証明書の作成(Linux編)
http://www.aconus.com/~oyaji/www/certs_linux.htm
◆サーバ用証明書等のバックアップ まで設定。
を参考にして単に暗号化のみ行っていたのですが
Firefox3にでSSL接続をすると下記の様なメッセージサイトが表示されて本来のサイトに接続できない状態です。
安全な接続ができませんでした
hogehoke.com への接続中にエラーが発生しました。
Certificate type not approved for application.
(エラーコード: sec_error_inadequate_cert_type)
受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
IEやChromeではセキュリティ警告は出るがサイトの表示は可能です。
お忙しい所恐縮では御座いますがご教授の程よろしくお願い致します。
CentOS5.2
Apache2
openssl 0.9.8b
以上
Firefox3の仕様みたいですね。
解決方法を探したけれど
それ(08/08)以後の記事を私では見つけられませんでした。
http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html
やはり仕様なのですね・・・
今後のアップデート及び無料のSSL認証局でも探してみます。
ありがとうございました。
> Firefox3の仕様みたいですね。
> 解決方法を探したけれど
> それ(08/08)以後の記事を私では見つけられませんでした。
>
> http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html
自己署名した認証局の証明書をインストールしていたので気がつきませんでしたが、Firefox3こうなるのですね。
例外として追加するか、自己認証局の証明書をインストールすればこのエラーはなくなります。
Firefoxに限らず、そもそも自己署名した認証局の証明書をインストールしないでエラーを出しつつ運用するのは使いにくくありませんか?
おやじさま
http://www.aconus.com/~oyaji/www/certs_linux.htmを参考に
すべて設定を行いクライアント側に証明書をインストールしても
例外に追加しようとしても同様のエラーで結局はサイトの表示は無理なようです。
> > Firefox3の仕様みたいですね。
> > 解決方法を探したけれど
> > それ(08/08)以後の記事を私では見つけられませんでした。
> >
> > http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html
>
> 自己署名した認証局の証明書をインストールしていたので気がつきませんでしたが、Firefox3こうなるのですね。
> 例外として追加するか、自己認証局の証明書をインストールすればこのエラーはなくなります。
> Firefoxに限らず、そもそも自己署名した認証局の証明書をインストールしないでエラーを出しつつ運用するのは使いにくくありませんか?
> http://www.aconus.com/~oyaji/www/certs_linux.htmを参考に
> すべて設定を行いクライアント側に証明書をインストールしても
> 例外に追加しようとしても同様のエラーで結局はサイトの表示は無理なようです。
チャントFirefoxにインストールしましたか?
Firefoxはツール->オプション->詳細->暗号化->証明書を表示->認証局証明書->インポートでca.derを指定してあげればおしまいです。
http://www.aconus.com/~oyaji/www/ssl_client.htm
たまたま、おやじのパソコンがクリアインストール状態だったのでインポート前後で確認済みで、できない理由もありませんが・・・
おやじさま
ca.derのインストールは済んでいるのですが
状況変わらずです。
時間があるの時にでも原因追究してみます。
> > http://www.aconus.com/~oyaji/www/certs_linux.htmを参考に
> > すべて設定を行いクライアント側に証明書をインストールしても
> > 例外に追加しようとしても同様のエラーで結局はサイトの表示は無理なようです。
>
> チャントFirefoxにインストールしましたか?
> Firefoxはツール->オプション->詳細->暗号化->証明書を表示->認証局証明書->インポートでca.derを指定してあげればおしまいです。
>
> http://www.aconus.com/~oyaji/www/ssl_client.htm
>
> たまたま、おやじのパソコンがクリアインストール状態だったのでインポート前後で確認済みで、できない理由もありませんが・・・
> ca.derのインストールは済んでいるのですが
> 状況変わらずです。
では、思いつくのは以下のようなものです。
1. 証明書マネージャで「認証局証明書」として登録しなかった。
2. 上記登録時に、信頼する範囲を聞かれるが必要なものにチェックを入れていない。
3. そもそも証明書のタイプが誤っている。
> ca.derのインストールは済んでいるのですが
インストールされているなら
[認証局証明書]の[登録者と発行者名]の中の自分の[認証局]を選択し
[表示]や[設定]をクリックしてみる
ca.derのインストールも[認証局証明書]の[登録者と発行者名]設定も行っていいるのですがダメでした・・・。
この際オレオレ認証局をやめて低価格なRapid-SSLで証明書でも取ろうかと思っています(^^;
> > ca.derのインストールは済んでいるのですが
> インストールされているなら
> [認証局証明書]の[登録者と発行者名]の中の自分の[認証局]を選択し
> [表示]や[設定]をクリックしてみる
> ca.derのインストールも[認証局証明書]の[登録者と発行者名]設定も行っていいるのですがダメでした・・・。
”[登録者と発行者名]設定も行っている”とありますが、この作業を正確に操作レベルで表現できますか? 設定できるのは、この認証局を3つの識別(web,mail,soft)のいずれかで信頼するかだけなので、今回のケースなら最低限webにはチェックを入れてあれば問題ないです。
これ以前のレスもそうですが、やっているとしか書かれておらず、おやじのとおりやっているならできない理由は絶対にないので、そうであればFlipさんがやっているといっている内容が誤っているとしか考えられないからです。何故そう思うかですが、レスの表現がおやじの認識とは常に微妙に違うからです。実際おやじがやっているとおりなら、こういう表現はしないはずと思えるからです。
なお、証明書名と発行者名に自分の証明書は存在しているんですよね。因みに、誤った同じCN名の証明書があるとうまく動かないので、自分の証明書は1個しかないことを確認してください。どれが正しいかわからないなら、自分の証明書は全て削除して入れなおしたほうが確実。間違っても他の証明書を削除しないように!!
> この際オレオレ認証局をやめて低価格なRapid-SSLで証明書でも取ろうかと思っています(^^;
cacert.pemの作成時
X509v3 Basic Constraints:
CA:TRUE
Netscape Cert Type:
SSL CA, S/MIME CA
の必要があるが
X509v3 Basic Constraints:
CA:FALSE
になっていませんか
そのケースで失敗した経験がある
openssl x509 -in cacert.pem -text
でtxt表示して確認してみる
もう一度最初から作り直してみます。