Top過去ログ目次掲示板

作成日:2005年08月26日 作成:おやじ
掲示板で過去に質問された内容です。

No.5095 Apache + SSL(Win)について


No.5095 投稿時間:2005年08月26日(Fri) 13:15 投稿者名:cross URL:
タイトル:Apache + SSL(Win)について

今、セキュリティーの勉強をしていまして、
SSLを使った通信をしたいと思っています。
そこで、おやじさんのWindows編のApache+SSLの設定を参考にサーバーを立てようとしました。

しかし、「サービス起動の設定と起動」のところでレジストリを変更し、
「-D SSL」を追加するとApacheを起動することができません。
これを追加しなければ動作するのですがなにか問題があるのでしょうか?

SSL対応のApache2.0.54、OpenSSL0.9.8、WindowsXP HomeEditionを使用しています。


No.5096 投稿時間:2005年08月26日(Fri) 23:37 投稿者名:おやじ URL:
タイトル:イベントビューアで原因がわかります。

> しかし、「サービス起動の設定と起動」のところでレジストリを変更し、
> 「-D SSL」を追加するとApacheを起動することができません。
> これを追加しなければ動作するのですがなにか問題があるのでしょうか?

問題があるから起動しないだけです。証明書の不備が一番怪しいですが、起動しない場合はWindowsではコンパネの管理ツールにあるイベントビューアでアプリをみればエラーが出ているはずですから、それを見れば原因がわかるはずです。


No.5104 投稿時間:2005年08月29日(Mon) 04:09 投稿者名:cross URL:
タイトル:Re: イベントビューアで原因がわかります。

とても分かりやすく教えていただきありがとうございます。
エラーはssl.confの
SSLCertificateFile c:/Apache/certs/server.crt
SSLCertificateKeyFile c:/Apache/certs/server.key
の行で出ていました。
パスは合っているはずなのですがエラーが出るということは、
やはりおやじさんの言ったように、証明書の不備でしょうか・・?

証明書の発行もおやじさんの解説どおりに手順を踏んで何回かやってみました。
どこが悪いのかよくわからないのですが、引っかかっているのは、
CA証明書(ca.der)をブラウザにインストールして、
そのあとサーバー証明書(server.crt)を開くと、
「証明のパスの証明機関は証明書を発行する権限がないか、
この証明書をエンドエンティティ証明書として使うことができないため、
この証明書は無効です。」
となっているところです。
自分では内容が難しく、うまく説明できてなくてすいません・・・。


No.5107 投稿時間:2005年08月29日(Mon) 23:50 投稿者名:おやじ URL:
タイトル:もう少し整理できませんか?

> とても分かりやすく教えていただきありがとうございます。
> エラーはssl.confの
> SSLCertificateFile c:/Apache/certs/server.crt
> SSLCertificateKeyFile c:/Apache/certs/server.key
> の行で出ていました。
> パスは合っているはずなのですがエラーが出るということは、
> やはりおやじさんの言ったように、証明書の不備でしょうか・・?
>
> 証明書の発行もおやじさんの解説どおりに手順を踏んで何回かやってみました。
> どこが悪いのかよくわからないのですが、引っかかっているのは、
> CA証明書(ca.der)をブラウザにインストールして、
> そのあとサーバー証明書(server.crt)を開くと、
> 「証明のパスの証明機関は証明書を発行する権限がないか、
> この証明書をエンドエンティティ証明書として使うことができないため、
> この証明書は無効です。」
> となっているところです。
> 自分では内容が難しく、うまく説明できてなくてすいません・・・。

申し訳ないのですが、何が問題なのかが絞り込めません。
イベントビューアで証明書のところでエラーが出ていたのでパスを調べたとありますが、イベントビューアのエラーは証明書が見つからないというエラーだったのでしょうか?
証明書の不備ならそのようなメッセージが出ているはずですから、それに見合った対処が必要であり、パスチェックと証明書不備ではあまりにも対応が違うので・・・。
どういうエラーか意味がわからないのなら、それはそれで対応が難しいのですが・・。
サーバがSSL起動できていない、言い換えれば、netstat -an で443番がLISTEN状態になっていない状況でクライアントに証明書を入れても意味がありません。順番に片付けていかなければ・・・。
「サーバー証明書(server.crt)を開くと・・」は、どのような目的で、どうなることを期待して、どのように開いたのですか? どこかにそう書いてあったのでしょうか?
サーバがSSL起動するまで、クライアントのことは忘れてイベントビューアのエラー原因を解決するしかありません。
因みに、No.5046からのnumaさんのスレをよく読んでください。証明書の作成を0.9.8でやると後でクライアントに証明書を入れたとたんサーバは動いていてもアクセスできなくなります。実績のあるおやじの0.9.7eでやって下さい。



掲示板▲頁先頭