- 締切済み
サーバ証明書の更新で困っています
まったくの素人です。しかし、業務を引き継ぎ、前任者の資料を頼りに保守しています。 説明も言葉足らずなところが多々あると思いますが、どうぞよろしくお願いします。 社内の開発環境にて、Windows2008R2を使い、オレオレ証明書を使っています。 サーバ証明書の更新作業を行っているところです。 有効期限が迫ってきたので、サーバ証明書を要求して新しい証明書を作成したのですが、 新しく作った証明書に置き換えると、他のパソコンから接続(認証)できなくなりました。 接続できないとは、他のパソコンからWEB経由でhttps接続すると証明書エラーになります。 パソコンには、クライアント証明書がインストールしてあります。 サーバ証明書を置き換える前には、接続できていました。 しかし、置き換える前の証明書に戻すと、元通り接続できません。 新しく作った証明書に問題があると思うのですが、原因をどこから調べればよいのか教えてください。 ログを調べてみましたが、はっきりしません。(あまり理解できません) このままでは期限切れで接続できなくなりそうです。 この程度の説明しかできくて申し訳ありません。 なんでもよいので、調査のヒントを頂けないでしょうか。よろしくお願い致します。
- isoisogo
- お礼率0% (0/2)
- インターネットビジネス
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- maesen
- ベストアンサー率81% (646/790)
- maesen
- ベストアンサー率81% (646/790)
>社内の開発環境にて、Windows2008R2を使い、オレオレ証明書を使っています。 >サーバ証明書の更新作業を行っているところです。 自己署名証明書(オレオレ証明書)を使用してサーバ証明書を作成していますので >接続できないとは、他のパソコンからWEB経由でhttps接続すると証明書エラーになります。 サーバ証明書のみ更新したのであれば、当然の結果です。 >パソコンには、クライアント証明書がインストールしてあります。 クライアント証明書と書いてありますが、書かれている内容からすると質問者さんの環境でクライアント証明書を使用している可能性は極めて低いと思います。 サーバ証明書と対になるのがクライアント証明書ではなく、別々の用途のものと考えたほうが良いと思います。 今回必要なのは、各PCに信頼されたルート証明機関に更新後のサーバ証明書(オレオレ証明書)をインストールするという作業になるはずです。 現在エラー無く接続出来ているのは、更新前のサーバ証明書でこの作業を実施してあるからです。 前任者の残した資料にこの辺の資料はありませんでしょうか? 手順が不明ならばまた質問して下さい。(手順はネットで検索すればすぐに見つかりますけどね) これらの作業を実施したにもかかわらず証明書エラーが出る場合は、証明書エラーの詳しい内容を記載して頂かないとアドバイスが難しいです。
補足
maesenさん、回答ありがとうございます。 返信が遅くなり失礼しました。 追記させて頂きます。 ご指摘のとおり、別のクライアントからサーバにhttpsで接続し、システムを利用しています。 クライアントには、クライアント証明書を配布し、インストールして運用しています。 サーバ証明書も、クライアント証明書も、有効期限を1年としており、毎年更新作業を実施しています。 今回、サーバ証明書の更新で問題になっている次第です。 記事に誤記がありましたので訂正しさせて頂きます。 >>しかし、置き換える前の証明書に戻すと、元通り接続できません。 正しくは、「しかし、サーバ証明書を置き換える前のものに戻すと、パソコンからは元通りに接続できます。」です。 困惑させる内容で申し訳ありません。 つまり、新しいサーバ証明書をバインドすると外部から接続できなくなり、元のサーバ証明書に戻すと接続できます。 パソコン側からhttps接続した場合のエラーについてですが、XP+IE8では「このサーバに接続できません」となりました。 サーバ証明書の更新手順を追記します。 1.IISマネージャから証明書の要求の作成を実行 2.証明期間に要求を開始 3.証明機関にて保留中の証明を発行 4.証明機関にて発行済みの証明を開き詳細にてファイルにコピーしエクスポート 5.IISマネージャにて証明書の要求の完了を実行 6.IISマネージャからサイトバインドを開きhttpsのSSL証明書を今回作ったものに変更 7.最後にCA証明書の書き換えを実施しました。 以上です。 何か間違った作業をしていたり、作業が抜けていたりしますでしょうか? 昨年も更新作業をした時、先にクライアント証明書を更新して配布し、次にサーバ証明書の更新を行っています。 この期間は約1ヶ月くらい空いています。 私の認識でも、サーバ証明書とクライアント証明書は別々のものだと思っています。 そして、この二つの作成タイミングは特に関係ないと思っていますが、これは間違いでしょうか? 的外れな回答と情報提供かもしれませんが、よろしくお願い致します。
関連するQ&A
- ssl サーバ証明書について
はじめまして 標記の件につきまして、ご教示願います。 以下のURLの解説において、 http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284426/ クライアントには,「サーバー証明書」と「ルート認証局の自己証明書」が一緒に送られてくる。パソコンの中にもともと入っている証明書を使ってルート認証局の自己証明書の正当性をチェックし,その後,サーバー証明書の正当性をチェックする。という記述のなかで、 パソコンの中にもともと入っている証明書を使ってルート認証局の自己証明書の正当性をチェック すると記載しておりますが、サーバから送られてくる「ルート証明局の自己証明書」とクライアント側 にもともと入っている証明書を使って正当性はどのようにチェックしているのでしょうか? 宜しくお願いいたします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 期限の切れた証明書について
SSLのサーバ証明書について、信頼されて無い証明機関によって認証されている場合 クライアント(大抵ブラウザになると思います。)は証明機関の電子署名が正当なものか 検証出来ない為、こういった運用をしているサイトは脆弱性のあるサイトであると 言えると思います。 ここで質問ですが、 信頼された証明機関によって認証されているが、有効期限が切れているサイトは 脆弱性があるサイトであると言えるのでしょうか? 有効期限が切れていようと信頼された証明機関によって認証はされている訳ですし、 ブラウザでも ・信頼されて無い証明機関によって認証されている場合 ・信頼されている証明機関によって認証されているが有効期限切れの場合 は別箇のエラーが表示される為ユーザはこの二つを区別出来ます。 とあるサイトが有効期限切れのまま運用されているのですが、脆弱性が無い様なら 放置しても良いかなと思いますし、脆弱性が有る様なら担当者に連絡するべきかなと 思っています。 高木浩光さんの日記など見てみたんですが、ちょっと判断がつきませんでしたので ご教示頂ければと思います。
- ベストアンサー
- ネットワーク
- サーバー証明書の期限切れ
Thunderbirdでメール受信しようとすると、AVAST(FREE)が以下のメッセージを表示して、メール受信ができません。 ============= サーバー証明書の発行元の一つが期限切れとなっているため、アバストはpopr****.ne.jp(POP)接続を遮断しました。 ============= どのようにしてサーバー証明書の期限切れを確認し、修正することができるのでしょうか。 AVASTをアンインストールするとメール受信ができます。 DELL Inspiron 3250 Windows10 home
- 締切済み
- ウィルス・マルウェア
- サーバ証明書(オレオレ証明書)の有効期限の変更
こんばんわ。 OpenSSLのサーバ証明書(オレオレ証明書)をブラウザからの利用について調べています。 下記のサイトを参考にさせていただきました。 サーバはCentOS6.4です。OSは仮想PC上に作っています。 http://www.webtech.co.jp/blog/developer-news/1159/ http://www.aconus.com/~oyaji/www/certs_linux.htm 上記のサイトを参考に証明書を作ってブラウザーがアクセスしたところうまくいきました。 次にサーバ証明書の有効期限を20年にしようとしたところ、反映されず1年になってしまいます。 openssl.confの default_days = 7300 default_crl_days= 730 としてもダメでした。 何か設定漏れがあると思うのですが、どこを設定すればサーバ証明書の有効期限を変更できるのでしょうか。
- ベストアンサー
- Linux系OS
- 無効なSSLサーバ証明書
有効期限が切れたなどの理由で無効になってしまっているSSLサーバ証明書のサイトにhttpsで接続しようとすると、「このサーバ証明書は無効です」というような警告がでます。 これにOKしてhttpsで接続する場合、サーバの正当性が証明されないだけで通信の暗号化はされているのでしょうか? よろしくお願いします。
- 締切済み
- ネットワーク
- ベリサインのSSL証明書の更新ができません。
この度ベリサインから取得したSSL証明書の有効期限が切れたので更新しようと思い、CSRの作成、サーバーID・中間証明書を取得して、手順に従いインストールしました。 インストールしたはずなのですが、あいかわらず有効期限切れの表示がでています。なにか足りないもの、作業があるのかと思っています。どなたかお願いします。
- 締切済み
- その他(ソフトウェア)
- クライアント証明書(Windows Server)
Windows Server 2008 R2 Standardを使って、インターネット上にサイトを構築しました。 サイト全体にセキュリティを施す必要があり、SSL証明書を購入し運営ドメインに設置しました。 そのドメイン配下で特にセキュリティを高める必要がある場所があったので、仮想ディレクトリ作り、特定の者だけアクセスさせるようにしようとしているところです。 IP制限やVPNは使えないという条件で何か方法を探しており、クライアント証明書というものの存在を知りました。 クライアントのブラウザに証明書をインストールしているものだけアクセスできるので、できればこれを使いたいのですが、そもそも、その証明書はどこで取得できるのでしょうか? 契約したSSL証明書の会社のホームページの製品にクライアント証明書について書かれていませんので、いろいろネットで調べましたが、知識不足の為いまいちよく分かりません。 今のサイトはドメイン認証タイプのSSLを設置してますが、そもそも、そのサイトの仮想ディレクトリに対してクライアント証明書での認証を行わせること自体可能なのでしょうか?
- ベストアンサー
- ネットワーク
- オレオレクロスルート証明書の作成方法
ベリサインを使わずにオレオレでクロスルート証明書を作成したいと考えております。 構成としてはこんな感じのものを作りたいです。 【構成イメージ】 Root認証局(1)(2048bit オレオレ) Root認証局(2)(1024bit、オレオレ) ↓ ↓ ↓ ↓ 中間認証局(Root認証局(1)&クロスルートで署名)←←クロスルート証明書(Root認証局(2)で署名) ↓ ↓ サーバ(中間認証局で署名) 【困ってるところ】 中間認証局の署名がRoot認証局(1)かクロスルートのどちらかしか出来ないから、 片方のルートしかチェーンできません。 ベリサインがどうやってクロスルートを実現しているのでしょうか。 また、opensslで作成する時はどうすればよのでしょうか? もし、こうやればできる、というやり方をご存じの方がおりましたら教えていただきたく思います。
- ベストアンサー
- オープンソース
- 自己署名証明書(オレオレ証明書)の暗号化について
SSL暗号化通信の仕組み自体は,下記URLの通りとして把握しております. (1*) http://www.twsvc.com/about_ssl (2*) http://www.ibm.com/developerworks/jp/websphere/library/web/web_security/pdf/2_6.pdf これを,オレオレ証明書を用いた暗号化通信で考えると,セキュリティに関する識者である高木氏は,自分の日記にて以下のように書いています. >共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します。この暗号は正常に機能しているでしょうか? >「今の話は共通鍵暗号じゃなくて公開鍵暗号だろ」って? オーケー、では、次の比較に対してどう答えるか。 >1.共通鍵暗号による暗号化通信 >2.公開鍵暗号による暗号化通信で認証なし(認証検証時の警告を無視する使用形態) >3.公開鍵暗号による暗号化通信で認証あり (略) >では、1.と 2. を比べたときはどうか。「3.ほどではないが 1.よりは 2. の方がまし」と言えるだろうか? それは誤りである。 (略) >公開鍵暗号の公開鍵がいっしょに配送されている暗号化通信では、傍受点で、流れてきた鍵を、別途用意した自作鍵に差し替えて流してしまえば、それで暗号化されて戻ってくる暗号文を復号できる。 ※詳細は,高木氏の「PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」」をご参照ください. ここで,疑問になるのが,”傍受点で、流れてきた鍵を、別途用意した自作鍵に差し替えて流してしまえばいい”という点です. オレオレ証明書では,ルート証明書にたどり着けないため,ブラウザはオレオレ認証局の公開鍵をもっていない. そのため,サーバ証明書内の公開鍵を取得できない. だから,サーバ証明書送付時にオレオレ認証局の公開鍵を送付する必要がある. オレオレ認証局の公開鍵を用いて,サーバ証明書から公開鍵を抜き出す もしこのとき,オレオレ認証局の公開鍵が自作鍵に置き換えられたとしても,ただ単にサーバ証明書から公開鍵を抜き出すことができず,そこで通信が終了すれば”それで暗号化されて戻ってくる暗号文を復号できる”ことも無いように思えるのですが,いかがでしょうか. (つまり,高木氏の言う差し替えた自作鍵でサーバ証明書内の公開鍵が取得できるかどうか) これができなければ,確かに暗号化通信(というか通信そのもの)自体は破綻していますが,高木氏の懸念しているような「重要な情報の流出」にはつながらないように思えます. 乱文になってしまいまして申し訳ありません. もし,私自身に勘違いや解釈違い等ありましたら,ご指摘いただけると幸いです. よろしくお願いします.
- ベストアンサー
- ネットワーク
- SSL証明書更新手順について
期限切れを迫っているため、 SSL証明書の更新手順についてお伺いしたいのですが、 サーバーにあるCSRを再度そのまま利用してWEBに登録(SSL発行業者のログイン後画面) してSSL証明書を発行しても問題ないでしょうか? ご存知の方、アドバイスをお願いします。
- 締切済み
- その他(ITシステム運用・管理)
補足
maesenさん、回答ありがとうございます。 返信が遅くなり、申し訳ありません。 実は、システムが止まってしまい、対応に追われています。 こちらでも調査を進めた結果、やはり「CA証明書の書き換え」が問題だろうと疑っています。 しかし、今回の更新作業は手順に沿って実行しただけでなので、その内容についてはまったく理解していません。 お恥ずかしい限りです。 手持ちの資料も、これ以外は記述がないため、内容の説明はすみませんができません。 現在、何度サーバ証明書を作り直しても、SSLの認証にたどり着く前にアクセスを拒否されているらしく、その原因は不明です。 しかし、対応が待ったなしになってしまったので、証明サービスを一度削除し、もう一度入れ直すことで話を進めています。 クライアント証明など、全て無効になりますがこれが一番早いかと、ただこのやり方で本当に解決するかはやってみないとわかりません。 パソコン側からhttps接続した場合のエラーについてですが、OSとIEの組み合わせによって表示が違うようです。 ご提示頂いたサンプルのように「このWEBサイトのセキュリティ証明書には問題があります」と出るものもあれば、 「Internet Explorer ではこのページは表示できません」と出るものあります。 しかし、「このサイトの閲覧を続行する」を選択しても、しばらく接続しようとするのですが最終的には画面も切り替わらず無反応で終わります。 サイトだけでなく、証明書サービスに接続しようとしても、同様に画面移動しません。 但し、サーバ自身からだとデフォルトIISの画面や証明書サービスは立ち上がるので、サービス自体は生きているようです。 外部からの接続ができない、拒否していると思われます。 IISのログも何も書かれない状態で、サーバ側には痕跡が残っていません。 質問しておきながら、問題解決というより、逃げの対応をしようとしています。 本当は、ちゃんと原因を突き止めないと、今後のためにはならないのですが。 判断に悩むところです。