Apache SSL - よく訊かれる質問

受け取った証明書をすべてインストールする必要がありますか？
いいえ。ApacheユーザーはComodoおよびGTE証明書ではなく、サポートページ上のバンドルファイル(http://jp.comodo.com/ssl-certificate-support/cert_installation/ssl-certificate-index.html)を使用する必要があります。
このバンドルファイルをインストールしないと、お客さまのWebサイトの安全な領域に行ったときでも、信頼できないメッセージを受け取ることになります。

うっかり秘密鍵を消去してしまいました。
まずお客様のバックアップ情報をチェックして、秘密鍵を再インストールできるかどうかを確認してください。バックアップ情報から秘密鍵を再インストールする方法がわからない場合は、お客様のシステム管理者にご相談ください。相談ができない場合は、お使いのWebサーバーのソフトウェアベンダーに連絡して技術サポートを依頼してください。代替策として唯一利用できるのは、交換CSRの再送信後にSSL証明書を再発行する方法です。

証明書または鍵が無効だと警告されています。
対応する秘密鍵がないか、見つかった秘密鍵が証明書と合致しないかです。
"OpenSSL:error:0B080074:x509 certificate outines:x509_check_private_key:key values mismatch" というエラーメッセージが表示されることがあります。

IPベースのホスティングまたはネームベースのホスティングを使用する必要がありますか？
ネームベースのホスティングは本番環境では滅多に使用されません。
IPベースのホスティングは、SSLプロトコルの動作に従って使用しなければなりません。

証明書をインストールするとき、Apache Mod_SSLとApache OpenSSLの違いは何ですか？
違いはなく、プロセスは同じで、使用されるディレクティブも同じです。

Apacheがスタートアップ時に失敗します。なぜこうなるのでしょうか？
鍵ファイルにパスフレーズがある場合、それを除去する必要があります。というのは、Apacheはスタートアップ時に鍵ファイルを読み込めないからです。次のコマンドで読み込めます。
openssl rsa -in file1.key -out file2.key
file2.keyには解読鍵が含まれています。
Mozillaを使って鍵ファイルをダウンロードした場合、Mozillaは鍵ファイルを圧縮形式で保存したかもしれません。

IPアドレスを変更できますか？
証明書は特定のIPアドレスには結合しません。www.comodo.comのような完全修飾ドメインネームと結合します。

httpsページで 'The Page Cannot Be Displayed' というメッセージを受け取りました。
SSLポートが開いていますか。これは通常ポート443です(443をリッスンしてください)。
ファイアウオールの設定でSSLポートスルーが許可されていますか。
サーバーがリブートされましたか。
Webブラウザーのオプションで[SSL 3.0を使用する]がチェックされていることを確認してください。

普通のPCのブラウザーではOKですが、MACで同じページに行くと、'Not Trusted' というメッセージが表示されます。
これは通常、SSLCACertificateFileディレクティブではなく、SSLCertificateChainFileディレクティブを使った場合に発生します。

エラー: "Data decryption error"
このエラーメッセーが発生するのは、httpd.confファイルにディレクティブがないからです。ほとんどのWebブラウザーではいろいろなブラウザーとそれぞれ異なる方法で「トーク」するように設定できます。Mac上ではInternet Explorerを使えるようにhttpd.confファイルに次のディレクティブを追加します。
SSLSessionCache dbm:/var/cache/httpd/ssl_cache
SSLSessionCacheTimeout 300.

"There are secure and non-secure items on the page? Would you like to proceed?" というメッセージが表示されました。
このエラーが意味するのは、絶対に安全と言い切れる方法で呼ばれていない埋め込みオブジェクトまたはHTMLタグがこのページ内にあるということです。例えば、安全に(httpsプロトコルを使用して)ロードされ、IMG SRC =http://www.yyy.com/image.gifなどのイメージタグがソースコード内に含まれているとします。この場合、このイメージは安全でない（HTTP)プロトコルを使って呼ばれています。

安全なサイト(https)にアクセスすると、別のサイトの証明書が表示されます。
この問題が発生するのは、configファイル内の各ホストに同じIPアドレスを割り当てた場合です。SSLはネームベースの仮想ホスティング(ホストヘッダーがSSLで暗号化されている）をサポートしないので、configファイル内にある最初の証明書だけが使用されます。

ブラウザーから信頼されないものがあるというエラーメッセージが表示されます。
ルート証明書と中間証明書のいずれか、または両方が正しくインストールされていない可能性があります。これをチェックするには、エラーメッセージが表示されたときに[View Certificates]をクリックして3つの証明書がすべて表示されるかどうかをチェックします。
使用されている証明書が完全修飾ドメインネーム用ではないこともあります。この場合は再度[View Certificates]をクリックして、証明書内のドメインネームが表示対象URL内のドメインネームと一致するかどうかをチェックしてください。
[インターネットオプション]をチェックし、その[詳細設定]セクションで[SSL 3.0を使用する]がオンになっていることを確認してください。
.confファイルで、SSLプロトコルのバージョン3が許可されていることを確認してください。

サイトにアクセスしようとすると、"intermittent server not found" メッセージが表示されました。
Webサーバーが証明書失効リストをチェックするように設定されていて、Webサーバーがダウンしていると、操作タイムアウトになることがあります。これは証明書の問題ではなく、ブラウザーに関する何かの処理がタイムアウトになるということです。
Microsoft Internet Explorer (MSIE)を使い、Mod_SSLサーバーまたはOpenSSLサーバーを有するApacheにHTTPSを介して接続すると、いくつものI/Oエラーが発生します。これはなぜでしょうか？
第一の理由は、いくつかのMSIEバージョンのSSL処理系に、HTTPキープアライブ機能と、ソケット接続クローズ時のSSLクローズ通知アラートに関して小さなバグがいくつかあるからです。さらに、SSLとHTTP/1.1機能の間の対話がMSIEバージョンによっては問題があることもあります。これらの問題を回避するには、Mod_SSLサーバーまたはOpenSSLサーバーを有するApacheにHTTP/1.1 キープアライブ接続を使わせないようにするか、SSLクローズ通知メッセージをMSIEクライアントに送信することが必要です。これはSSL対応仮想ホストセクション内で次のディレクティブを使うことでできます。
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
また、いくつかのMSIEバージョンには特定の暗号に問題があることも知られています。残念ながら、このMSIEクライアントに対してだけはバグを回避することはできません。なぜなら、この特定の暗号がSSLハンドシェークフェーズで、すでに使用されているからです。したがって、MSIE固有のSetEnvIfはこの問題を解決するように機能しません。汎用パラメーターに根本的な変更を行う必要があります。しかし、変更を行う決定をする前に、クライアントに実際に問題があることを確認してください。問題がないのであれば、変更を行わないでください。クライアントのすべてに影響を与えるからです。

エラー: "no start line:pem_lib.c" or "no end line:pem_lib.c"
Apache-SSLはセキュリティールーチン用にOpenSSLというツールキットを使用します。OpenSSLは、証明書要求および証明書の形式に関して非常に特殊です。このエラーは特に証明書の形式に関連するものです。
BEGINとENDの前後にダッシュ記号が5個あることを確認してください。これらのダッシュ記号によって証明書の先頭行と最終行を作成する必要があります。
特に、BEGIN行とEND行は下記のようにします。
-----BEGIN CERTIFICATE-----
暗号化された証明書
-----END CERTIFICATE-----
ブラウザーウィンドウ内の証明書をテキストエディターにカット&ペーストして証明書テキストファイルを作成するときには、注意を要します。
BEGIN行またはEND行の前後にある終了空白は必ず除去してください。そうしないと、このエラーメッセージが表示されます。

エラー: "Unable to configure RSA server private key"
証明書には正しい秘密鍵を指定してください。
証明書のモジュラスを秘密鍵のモジュラスと比較して、2つが一致するかどうかをチェックしてください。以下のコマンドを使用します。
証明書モジュラスを表示するには
openssl x509 -noout -text -in certfile -modulus
秘密鍵のモジュラスを表示するには
openssl rsa -noout -text -in keyfile -modulus
証明書と秘密鍵をnotepadに保存し、終了空白がないことをチェックします。
秘密鍵内と証明書内にある "modulus" 部分と "public exponent" 部分は完全に一致しなければなりません。

エラー: "OpenSSL:error:0B080074:x509 certificate outines:x509_check_private_key:key values mismatch"
このエラーメッセージは、インストール中に正しくない証明書または秘密鍵を使用した場合に発生します。対応する秘密鍵と証明書を使用する必要があります。証明書内の公開鍵が秘密鍵のpublic部分と一致するかどうかを確認するには、下記の方法で証明書ファイルと鍵ファイルを表示し、モジュラス値を比較します。
証明書ファイルを表示するには
openssl x509 -noout -text -in certfile
鍵ファイルを表示するには
openssl rsa -noout -text -in keyfile

秘密鍵内と証明書内にある "modulus" 部分と "public exponent" 部分は完全に一致しなければなりません。"modulus" 部分が一致しない場合は、秘密鍵または証明書のいずれかが正しくありません。

SSLCACertificateFileディレクティブの代替ディレクティブはありますか？
SSLCACertificateFileの代わりにSSLCertificateChainFileを使用できますが、Apple MACでは証明書の信頼性に関するエラーを表示することがあり、中間証明書をチェックしていない可能性があります。

文書ではPEM形式の証明書を要求していますが、貴社からはこの形式の証明書を提供されていません。
ApacheSSL文書と、SSLeayツールキット文書では、証明書と証明書要求をPEM(Privacy-Enhanced Mail)ファイルとして参照します。証明書、証明書要求ともPEM形式ではありません。ApacheSSLは、すべてのSSLセキュアサーバーと同様に(標準的な）X.509デジタル証明書形式を使用します。SSLeayは '-----BEGIN-----' 行と '-----END-----' 行の間にBASE64エンコード形式で証明書を配置します。 BASE64エンコーディングは(以前の）Privacy Enhanced Mail (PEM) 仕様の一部として規定されており、このために文書で証明書を「PEM形式」ファイルと呼びます。WebブラウザーによってはPrivacy-Enhanced Mail (PEM) 形式の証明書パケット(以前のLotus Dominoや4D WebSTAR Server Suite/SSLなど)を使用します。この形式を選ばないでください。BASE64エンコードX.509証明書であるデフォルトの「標準」形式を使用してください。

Apacheがスタートアップ時に失敗します。なぜこうなるのでしょうか？
鍵ファイルにパスフレーズがある場合、それを除去する必要があります。というのは、Apacheはスタートアップ時に鍵ファイルを読み込めないからです。次のコマンドで読み込めます。openssl rsa -in file1.key -out file2.key file2.keyには解読鍵が含まれています。

httpsを介してアクセスしているとき、IE 5.x/6.x はPOST変数をフォームからフォームへ伝送していないようです(phpまたはCGI）。
多分、56ビットエクスポートバージョンのMSIE 5.x ブラウザーにあるSSLv3処理系が破損していて、0.9.4より後のOpenSSLとの対話に不具合があると思われます。クライアントにブラウザーをアップグレードしてもらうか、お客さまがOpenSSL 0.9.4にダウングレードするか、あるいは問題を発生させる暗号のみを無効にして問題を回避することができます。SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP これでも破損しているMSIEは動くようになりますが、新しい56ビットTLS暗号を除去するだけです。