« 2007年11月 | Su-Jine の独り言 | 2008年02月 »
2007年12月21日グローバルサインの SSL 証明書で「Web サイトが未知の認証局により認証されています」がでる問題
ポイ探の SSL を更新した。Web サイトに書かれているとおりに作業を進めて、Apache をリスタートしたところ、問題なく起動。サイトにアクセスしても特に問題なかったが、Firefox で表示しようとしたところ、「Web サイトが未知の認証局により認証されています」という警告が。内容を見ても、「"コモンネーム" が信頼できるサイトであると確認できません」というようなメッセージが表示される。
SSL はジオトラストで取得したが、現在はグローバルサインになっている。そこでSSL 証明書が何か変わっているようだ。グローバルサインになってから中間証明書をサーバに保存し、Apache に設定する必要がある。具体的には SSLCertificateChainFile が必要。
<VirtualHost IP アドレス:443>
ServerName コモンネーム
SSLEngine on
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/dvcacert.cer
SSLCertificateFile /etc/httpd/conf/ssl.crt/コモンネーム.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/コモンネーム.key
</VirtualHost>
が、サポートに電話すると、IE で表示でき、Firefox で表示できないのは中間証明書が設定されていないからだといっていたが、何度設定し直しても同じ結果だ。電話で聞いてもずっと中間証明書が設定されていないといわれ、どうにもならないので電話を切った。
証明書をコピー・ペーストし、中間証明書も wget で取得したり、いろいろ試してみたがうまくいかない。別のサーバでも設定してみたが同じだ。結局、もう一度サポートに電話し、どうにもならなかったら解約して他の SSL 証明書を取得しようと思っていた。今度電話に出た担当者も中間証明書が設定されていないといっていたが、サーバによっては中間証明書を 2 度書くとうまくいくといっていたので、中間証明書の内容をコピーし、ペースとして保存。Apache をリスタートすると Firefox でも正常に動作した。具体的には下記のように 2 つ同じものをコピーして保存しただけ。
-----BEGIN CERTIFICATE-----
〜〜
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
〜〜
-----END CERTIFICATE-----
他に同じような現象が報告されていないか聞いても、問題は出ていないとのこと。2 つ同じものを書けばうまくいくなんて言うのはわかるわけがない。