Top過去ログ目次掲示板

作成日:2009年02月23日 作成:おやじ
掲示板で過去に質問された内容です。

No.7897 Firefox3におけるSSL接続不可について


No.7897 投稿時間:2009年02月23日(Mon) 23:18 投稿者名:Flip URL:
タイトル:Firefox3におけるSSL接続不可について

おやじ様

サイトの運用管理ご苦労様です。
いつも困った時に利用させて頂いております。

今回はタイトルの件で助言頂きたく投稿させて頂きます。

SSL用証明書の作成(Linux編)
http://www.aconus.com/~oyaji/www/certs_linux.htm
◆サーバ用証明書等のバックアップ まで設定。

を参考にして単に暗号化のみ行っていたのですが
Firefox3にでSSL接続をすると下記の様なメッセージサイトが表示されて本来のサイトに接続できない状態です。


安全な接続ができませんでした
hogehoke.com への接続中にエラーが発生しました。
Certificate type not approved for application.
(エラーコード: sec_error_inadequate_cert_type)
受信したデータの真正性を検証できなかったため、このページは表示できませんでした。


IEやChromeではセキュリティ警告は出るがサイトの表示は可能です。

お忙しい所恐縮では御座いますがご教授の程よろしくお願い致します。

CentOS5.2
Apache2
openssl 0.9.8b

以上


No.7898 投稿時間:2009年02月24日(Tue) 12:34 投稿者名:あざみ URL:
タイトル:Re: Firefox3におけるSSL接続不可について

Firefox3の仕様みたいですね。
解決方法を探したけれど
それ(08/08)以後の記事を私では見つけられませんでした。

http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html


No.7900 投稿時間:2009年02月25日(Wed) 14:39 投稿者名:Flip URL:
タイトル:Re^2: Firefox3におけるSSL接続不可について

やはり仕様なのですね・・・
今後のアップデート及び無料のSSL認証局でも探してみます。

ありがとうございました。


No.7902 投稿時間:2009年02月25日(Wed) 20:50 投稿者名:おやじ URL:
タイトル:自己認証局の証明書をインストールすれば・・・

> Firefox3の仕様みたいですね。
> 解決方法を探したけれど
> それ(08/08)以後の記事を私では見つけられませんでした。
>
> http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html

自己署名した認証局の証明書をインストールしていたので気がつきませんでしたが、Firefox3こうなるのですね。
例外として追加するか、自己認証局の証明書をインストールすればこのエラーはなくなります。
Firefoxに限らず、そもそも自己署名した認証局の証明書をインストールしないでエラーを出しつつ運用するのは使いにくくありませんか?


No.7905 投稿時間:2009年02月25日(Wed) 22:39 投稿者名:Flip URL:
タイトル:Re: 自己認証局の証明書をインストールすれば・・・

おやじさま

http://www.aconus.com/~oyaji/www/certs_linux.htmを参考に
すべて設定を行いクライアント側に証明書をインストールしても
例外に追加しようとしても同様のエラーで結局はサイトの表示は無理なようです。

> > Firefox3の仕様みたいですね。
> > 解決方法を探したけれど
> > それ(08/08)以後の記事を私では見つけられませんでした。
> >
> > http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html
>
> 自己署名した認証局の証明書をインストールしていたので気がつきませんでしたが、Firefox3こうなるのですね。
> 例外として追加するか、自己認証局の証明書をインストールすればこのエラーはなくなります。
> Firefoxに限らず、そもそも自己署名した認証局の証明書をインストールしないでエラーを出しつつ運用するのは使いにくくありませんか?


No.7906 投稿時間:2009年02月25日(Wed) 23:46 投稿者名:おやじ URL:
タイトル:チャントFirefoxにインストールしましたか?

> http://www.aconus.com/~oyaji/www/certs_linux.htmを参考に
> すべて設定を行いクライアント側に証明書をインストールしても
> 例外に追加しようとしても同様のエラーで結局はサイトの表示は無理なようです。

チャントFirefoxにインストールしましたか?
Firefoxはツール->オプション->詳細->暗号化->証明書を表示->認証局証明書->インポートでca.derを指定してあげればおしまいです。

http://www.aconus.com/~oyaji/www/ssl_client.htm

たまたま、おやじのパソコンがクリアインストール状態だったのでインポート前後で確認済みで、できない理由もありませんが・・・


No.7911 投稿時間:2009年02月27日(Fri) 06:04 投稿者名:Flip URL:
タイトル:Re: チャントFirefoxにインストールしましたか?

おやじさま

ca.derのインストールは済んでいるのですが
状況変わらずです。

時間があるの時にでも原因追究してみます。

> > http://www.aconus.com/~oyaji/www/certs_linux.htmを参考に
> > すべて設定を行いクライアント側に証明書をインストールしても
> > 例外に追加しようとしても同様のエラーで結局はサイトの表示は無理なようです。
>
> チャントFirefoxにインストールしましたか?
> Firefoxはツール->オプション->詳細->暗号化->証明書を表示->認証局証明書->インポートでca.derを指定してあげればおしまいです。
>
> http://www.aconus.com/~oyaji/www/ssl_client.htm
>
> たまたま、おやじのパソコンがクリアインストール状態だったのでインポート前後で確認済みで、できない理由もありませんが・・・


No.7913 投稿時間:2009年02月27日(Fri) 07:02 投稿者名:おやじ URL:
タイトル:思いつくままですが・・・

> ca.derのインストールは済んでいるのですが
> 状況変わらずです。

では、思いつくのは以下のようなものです。

1. 証明書マネージャで「認証局証明書」として登録しなかった。
2. 上記登録時に、信頼する範囲を聞かれるが必要なものにチェックを入れていない。
3. そもそも証明書のタイプが誤っている。


No.7914 投稿時間:2009年02月27日(Fri) 07:28 投稿者名:stranger URL:http://http://ja.528p.com/
タイトル:Re^2: チャントFirefoxにインストールしましたか?

> ca.derのインストールは済んでいるのですが
インストールされているなら
[認証局証明書]の[登録者と発行者名]の中の自分の[認証局]を選択し
[表示]や[設定]をクリックしてみる


No.7920 投稿時間:2009年03月03日(Tue) 19:39 投稿者名:Flip URL:
タイトル:Re^3: チャントFirefoxにインストールしましたか?

ca.derのインストールも[認証局証明書]の[登録者と発行者名]設定も行っていいるのですがダメでした・・・。

この際オレオレ認証局をやめて低価格なRapid-SSLで証明書でも取ろうかと思っています(^^;

> > ca.derのインストールは済んでいるのですが
> インストールされているなら
> [認証局証明書]の[登録者と発行者名]の中の自分の[認証局]を選択し
> [表示]や[設定]をクリックしてみる


No.7921 投稿時間:2009年03月03日(Tue) 20:09 投稿者名:おやじ URL:
タイトル:オペミスでしょうね。

> ca.derのインストールも[認証局証明書]の[登録者と発行者名]設定も行っていいるのですがダメでした・・・。

”[登録者と発行者名]設定も行っている”とありますが、この作業を正確に操作レベルで表現できますか? 設定できるのは、この認証局を3つの識別(web,mail,soft)のいずれかで信頼するかだけなので、今回のケースなら最低限webにはチェックを入れてあれば問題ないです。
これ以前のレスもそうですが、やっているとしか書かれておらず、おやじのとおりやっているならできない理由は絶対にないので、そうであればFlipさんがやっているといっている内容が誤っているとしか考えられないからです。何故そう思うかですが、レスの表現がおやじの認識とは常に微妙に違うからです。実際おやじがやっているとおりなら、こういう表現はしないはずと思えるからです。
なお、証明書名と発行者名に自分の証明書は存在しているんですよね。因みに、誤った同じCN名の証明書があるとうまく動かないので、自分の証明書は1個しかないことを確認してください。どれが正しいかわからないなら、自分の証明書は全て削除して入れなおしたほうが確実。間違っても他の証明書を削除しないように!!

> この際オレオレ認証局をやめて低価格なRapid-SSLで証明書でも取ろうかと思っています(^^;


No.7922 投稿時間:2009年03月04日(Wed) 01:20 投稿者名:stranger URL:http://http://ja.528p.com/
タイトル:cacert.pemの確認

cacert.pemの作成時
X509v3 Basic Constraints:
CA:TRUE
Netscape Cert Type:
SSL CA, S/MIME CA
の必要があるが
X509v3 Basic Constraints:
CA:FALSE
になっていませんか
そのケースで失敗した経験がある

openssl x509 -in cacert.pem -text
でtxt表示して確認してみる


No.7929 投稿時間:2009年03月06日(Fri) 00:25 投稿者名:Flip URL:
タイトル:Re^4: チャントFirefoxにインストールしましたか?

もう一度最初から作り直してみます。



掲示板▲頁先頭