- 締切済み
サーバ証明書の更新で困っています
まったくの素人です。しかし、業務を引き継ぎ、前任者の資料を頼りに保守しています。 説明も言葉足らずなところが多々あると思いますが、どうぞよろしくお願いします。 社内の開発環境にて、Windows2008R2を使い、オレオレ証明書を使っています。 サーバ証明書の更新作業を行っているところです。 有効期限が迫ってきたので、サーバ証明書を要求して新しい証明書を作成したのですが、 新しく作った証明書に置き換えると、他のパソコンから接続(認証)できなくなりました。 接続できないとは、他のパソコンからWEB経由でhttps接続すると証明書エラーになります。 パソコンには、クライアント証明書がインストールしてあります。 サーバ証明書を置き換える前には、接続できていました。 しかし、置き換える前の証明書に戻すと、元通り接続できません。 新しく作った証明書に問題があると思うのですが、原因をどこから調べればよいのか教えてください。 ログを調べてみましたが、はっきりしません。(あまり理解できません) このままでは期限切れで接続できなくなりそうです。 この程度の説明しかできくて申し訳ありません。 なんでもよいので、調査のヒントを頂けないでしょうか。よろしくお願い致します。
- isoisogo
- お礼率0% (0/2)
- インターネットビジネス
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- maesen
- ベストアンサー率81% (646/790)
補足ありがとう。 なるほど、ちゃんと認証局が立っているのですね。 その認証局で証明書を発行しているのですね。 余談ですが、 ※この場合は一般的オレオレ証明書とは言わないですね。 ※ローカル証明機関で証明書を発行しているといったところでしょうか。 証明書の発行手順は問題ないように思います。 >私の認識でも、サーバ証明書とクライアント証明書は別々のものだと思っています。 >そして、この二つの作成タイミングは特に関係ないと思っていますが、これは間違いでしょうか? そうですね。 両者は無関係のように思います。 クライアント証明書はこれはこれで必要な環境なんでしょう。 前に書いた回答は撤回ですね。 そうすると、問題はルート証明機関の証明書の配布の問題の可能性があるように思います。 >7.最後にCA証明書の書き換えを実施しました。 このあたりのように思います。 ここの詳しい内容は書けますか? グループポリシーとかでルート証明書の配布を行っていると予想します。 >パソコン側からhttps接続した場合のエラーについてですが、XP+IE8では「このサーバに接続できません」となりました。 また、ここの詳しい内容がほしいですね。 こんなような画面がでますか? それとも別の画面ですか? http://esupport.trendmicro.com/solution/ja-jp/1308486.aspx 上のような画面が出る場合、3,4の内容がほしいですね。
- maesen
- ベストアンサー率81% (646/790)
>社内の開発環境にて、Windows2008R2を使い、オレオレ証明書を使っています。 >サーバ証明書の更新作業を行っているところです。 自己署名証明書(オレオレ証明書)を使用してサーバ証明書を作成していますので >接続できないとは、他のパソコンからWEB経由でhttps接続すると証明書エラーになります。 サーバ証明書のみ更新したのであれば、当然の結果です。 >パソコンには、クライアント証明書がインストールしてあります。 クライアント証明書と書いてありますが、書かれている内容からすると質問者さんの環境でクライアント証明書を使用している可能性は極めて低いと思います。 サーバ証明書と対になるのがクライアント証明書ではなく、別々の用途のものと考えたほうが良いと思います。 今回必要なのは、各PCに信頼されたルート証明機関に更新後のサーバ証明書(オレオレ証明書)をインストールするという作業になるはずです。 現在エラー無く接続出来ているのは、更新前のサーバ証明書でこの作業を実施してあるからです。 前任者の残した資料にこの辺の資料はありませんでしょうか? 手順が不明ならばまた質問して下さい。(手順はネットで検索すればすぐに見つかりますけどね) これらの作業を実施したにもかかわらず証明書エラーが出る場合は、証明書エラーの詳しい内容を記載して頂かないとアドバイスが難しいです。
補足
maesenさん、回答ありがとうございます。 返信が遅くなり失礼しました。 追記させて頂きます。 ご指摘のとおり、別のクライアントからサーバにhttpsで接続し、システムを利用しています。 クライアントには、クライアント証明書を配布し、インストールして運用しています。 サーバ証明書も、クライアント証明書も、有効期限を1年としており、毎年更新作業を実施しています。 今回、サーバ証明書の更新で問題になっている次第です。 記事に誤記がありましたので訂正しさせて頂きます。 >>しかし、置き換える前の証明書に戻すと、元通り接続できません。 正しくは、「しかし、サーバ証明書を置き換える前のものに戻すと、パソコンからは元通りに接続できます。」です。 困惑させる内容で申し訳ありません。 つまり、新しいサーバ証明書をバインドすると外部から接続できなくなり、元のサーバ証明書に戻すと接続できます。 パソコン側からhttps接続した場合のエラーについてですが、XP+IE8では「このサーバに接続できません」となりました。 サーバ証明書の更新手順を追記します。 1.IISマネージャから証明書の要求の作成を実行 2.証明期間に要求を開始 3.証明機関にて保留中の証明を発行 4.証明機関にて発行済みの証明を開き詳細にてファイルにコピーしエクスポート 5.IISマネージャにて証明書の要求の完了を実行 6.IISマネージャからサイトバインドを開きhttpsのSSL証明書を今回作ったものに変更 7.最後にCA証明書の書き換えを実施しました。 以上です。 何か間違った作業をしていたり、作業が抜けていたりしますでしょうか? 昨年も更新作業をした時、先にクライアント証明書を更新して配布し、次にサーバ証明書の更新を行っています。 この期間は約1ヶ月くらい空いています。 私の認識でも、サーバ証明書とクライアント証明書は別々のものだと思っています。 そして、この二つの作成タイミングは特に関係ないと思っていますが、これは間違いでしょうか? 的外れな回答と情報提供かもしれませんが、よろしくお願い致します。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_2_thumbnail_img_sm.png)
補足
maesenさん、回答ありがとうございます。 返信が遅くなり、申し訳ありません。 実は、システムが止まってしまい、対応に追われています。 こちらでも調査を進めた結果、やはり「CA証明書の書き換え」が問題だろうと疑っています。 しかし、今回の更新作業は手順に沿って実行しただけでなので、その内容についてはまったく理解していません。 お恥ずかしい限りです。 手持ちの資料も、これ以外は記述がないため、内容の説明はすみませんができません。 現在、何度サーバ証明書を作り直しても、SSLの認証にたどり着く前にアクセスを拒否されているらしく、その原因は不明です。 しかし、対応が待ったなしになってしまったので、証明サービスを一度削除し、もう一度入れ直すことで話を進めています。 クライアント証明など、全て無効になりますがこれが一番早いかと、ただこのやり方で本当に解決するかはやってみないとわかりません。 パソコン側からhttps接続した場合のエラーについてですが、OSとIEの組み合わせによって表示が違うようです。 ご提示頂いたサンプルのように「このWEBサイトのセキュリティ証明書には問題があります」と出るものもあれば、 「Internet Explorer ではこのページは表示できません」と出るものあります。 しかし、「このサイトの閲覧を続行する」を選択しても、しばらく接続しようとするのですが最終的には画面も切り替わらず無反応で終わります。 サイトだけでなく、証明書サービスに接続しようとしても、同様に画面移動しません。 但し、サーバ自身からだとデフォルトIISの画面や証明書サービスは立ち上がるので、サービス自体は生きているようです。 外部からの接続ができない、拒否していると思われます。 IISのログも何も書かれない状態で、サーバ側には痕跡が残っていません。 質問しておきながら、問題解決というより、逃げの対応をしようとしています。 本当は、ちゃんと原因を突き止めないと、今後のためにはならないのですが。 判断に悩むところです。