エラーに関して(FAQ)
ブラウザのエラー
HTTPSでページを開くと警告メッセージが表示されます。
証明書の警告には3種類ありますが、それぞれの意味は以下の通りです。
「有効期限が切れたか、まだ有効になっていません」
弊社から発行された証明書が正しく設定されているかご確認ください。
「信頼する会社から発行されていません」
有効期限が切れていないかご確認ください。またクライアントPCの時間が正常でない場合も同様なメッセージが表示されます。
「名前が無効であるか、またはサイト名と一いたしません」
証明書のコモンネームとブラウザで入力してるFQDN(ホスト名.ドメイン名等)が一いたしているかご確認ください。www.example.orgでお申し込みの場合、example.orgというようにホスト名を省略しますと別名と判断されますのでご注意ください。
Internet Explorerの場合
FireFoxの場合
※"コモンネーム"の部分は該当コモンネームに置き換えてお読みください。
このページにはセキュリティで保護されている項目と保護されていない項目が含まれています。
- フレームを利用したページ構成で、一部のフレームに非SSLのページを呼び出しているかどうか。
- 画像やスタイルシートなどの一部コンテンツを非SSLで呼び出していないか。
- 非SSLのリンク設定をしていないか。
(例:http://から始まるフルパスでリンクをしている場合)
フレーム分割しているウェブページの場合には、フレーム内のコンテンツすべてをSSL接続にすることをお勧めいたします。 上記の動作はブラウザにより異なりますので、鍵マークの表示条件等については、各ベンダにご確認ください。
nternet Explorerの場合
※「はい」をクリックしてアクセスすると、鍵マークが表示されません。
FireFoxの場合
※警告は出ませんが、ブラウザの鍵マークに斜線が入ります。
SSL接続中のブラウザに鍵マークが表示されません。
SSL暗号通信の際には、ブラウザの仕様により鍵マークが表示されることが一般的です。だたし、以下の
場合には鍵マークが表示されないことがあります。
・フレームを利用したページ構成で、一部のフレームに非SSLのページを呼び出している場合
・画像やスタイルシートなどの一部コンテンツを非SSLで呼び出している場合
・非SSLのリンク設定をしている場合 (例:絶対パスでリンクをしている場合)
いずれもページのソースやブラウザの機能で当該ページでhttp://のリンクをご確認ください。
フレーム分割しているウェブページの場合には、フレーム内のコンテンツすべてをSSL接続にされることを
お勧めいたします。 上記の動作はブラウザにより異なります。鍵マークの表示条件等については、各
ベンダーにご確認くださいますようお願いいたします。
証明書情報を見ると、「 この証明書の目的はどれも検証されませんでした 」となる。
一部の環境にいて、このエラーが生じることがあるようです。
この現象はメッセージの表記上のみの問題であり、SSL 通信の安全性は問題なく保たれていることを
確認できているとの情報が、マイクロソフトより公開されております。
詳しくは以下URLをご覧ください。
Internet Explorer 5 上で不正な証明書情報が表示される
http://support.microsoft.com/default.aspx?scid=KB;JA;416731
FireFoxの鍵マークに斜線、警告がついています。
FireFoxでは、SSLのページに暗号化されていないコンテンツが混在していると、鍵マークに斜線
または「!」マークがついて表示されます。
FireFox2
FireFox3
サーバに関するエラー
中間証明書が認識されません。
弊社では以下手順にて動作検証をおこなっておりますが、Apacheの動作を保証するものではございませんので、参考情報としてご覧ください。アプリケーションの詳細については付属のドキュメントや関連書籍等でご確認ください。
Apacheはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。
Apacheの一部バージョン、一部環境において、マニュアル手順どおりに設定いただいても中間証明書が正しく認識されないことがあります。
以下設定によって解決することがありますので、お試しください。
※Apacheをアップデートする事で不具合の修正がされている場合がございます。
中間証明書の内容を2重に記載
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までをコピーして加えます。
confファイルで、中間証明書の設定を<VirtualHost>の外にも記載
記載例: SSLCertificateChainFileの行を2回記載しています。
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/alphacacert.cer
<VirtualHost xxx.xxx.xxx.xxx:443>
DocumentRoot "/var/www/html"
ServerName ssl.alphassl.com
SSLEngine on
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/kingcacert.cer
SSLCertificateFile /etc/httpd/conf/ssl.crt/ssl.kingssl.com.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/ssl.kingssl.com.key
</VirtualHost>
設定後Apacheを再起動し、SSL接続を確認してください。
# apachectl stop
# apachectl startssl
restartでは、正常に読み込まれない場合がありますのでご注意ください。
ご利用の環境によっては、コマンドが異なる場合がございますのでご了承ください。
Apacheで証明書のインストール時に、鍵が合わないとのエラーになります。
エラーログ等をご確認いただき、private_key:keyvalues mismatch が出る場合は、秘密鍵と
証明書の整合性が取れていない状態と思われます。
秘密鍵がサーバ内に複数存在する場合は、別の鍵とペアになっている可能性がありますが、
もし合う秘密鍵が見つからない場合は証明書を再発行する必要がございます。
秘密鍵、CSRの生成を再度おこなっていただき、新しいCSRにて、再発行をご依頼ください。
再発行のお手続き※無料で承っております。
なお、opensslコマンドにて整合性を確認することが可能です。
秘密鍵の内容を確認
# openssl rsa -text -noout -in [秘密鍵]
CSRの内容を確認
# openssl req -text -noout -in [CSR]
証明書の内容を確認
# openssl x509 -text -noout -in [証明書]
公開鍵の情報は、modulus の値となります。それぞれの値を比べ、完全に一致している場合は
整合性に問題はございません。
http:ではアクセスできますが、https:にアクセスできません。
https:にアクセスできない場合、まずhttpsのサーバが起動しているかご確認ください。 サーバが起動していないために接続出来ないのか、それとも別の原因でアクセス出来ないのかを切り分ける必要があります。
※ご利用のサーバがレンタルサーバの場合は、サーバ提供元にご相談ください。
【Webサーバの起動状況の確認】
■netstatコマンドによる確認
Unix、Linux環境
例:サーバにログインして確認します。
grep httpsもしくはgrep 443 で抽出し、LISTENの表示があるか確認します。
# netstat -a | grep https
Windows環境
例:コマンドプロンプトで確認します。
以下コマンドで443やhttpsの表示があるかどうかを確認します。
c:\dir>netstat -a
■psコマンドによるプロセスの確認
Unix、Linux環境
例:ps -aux | grep apache もしくは ps -aux | grep httpdの表示があるか確認します。
# ps -aux | grep httpd
起動していない場合、Webサービスを起動します。
起動できない場合は、エラーログ等を調査し、原因の切り分けを行ってください。
■Unix、Linux環境
/usr/local/apache2/logs/ ,/etc/httpd/logs, /var/log
等に存在するWEBサーバのログ
※ご利用のサーバ構成によってはこの限りではありません。
■Windows環境
イベントビューア
【ネットワーク等SSLポート(443)の状況】
サーバが起動しているにも関わらずアクセスできない場合は、サーバおよび接続環境(ルータ等)にて
SSL通信に使用されるポート(デフォルトは443番ポート)が開いているかご確認ください。
・Windows → Windowsファイアウォール
・Linux → iptables
また、ゲートウェイタイプなどの外部ファイアウォール機器を設置されている場合、そちらの設定も
ご確認くださいますようお願いいたします。
サーバ証明書をインストールしましたが、ファイルの呼び出しに「https://」をつけてもエラーページが表示されます。
まずhttpsのサーバが起動しているかどうか、ご確認ください。 また、インストールに失敗している場合には何らかの警告が出ているはずです。詳細はウェブサーバ・ログをご確認ください。
- コバルトRaQ550の場合
RaQ550のコントロールパネルから操作した場合、各仮想サイトの設定項目に、SSLというのがあります。ここで「SSLを有効にする」にチェックが入っていなければSSLが使用できません。
JAVA Keytoolのエラーに関して。
エラーメッセージ:
keytool error: java.security.cert.CertificateParsingException: invalid DER-encoded ertificate data
考えられる理由:
破線の行を含めて保存しているか、証明書の内容を確認してください。
エラーメッセージ:
keytool error: java.lang.Exception: Failed to establish chain from reply Input not an X.509 ertificate.
考えられる理由:
証明書の文字が足りない、または余計なスペースがないか確認してください。
エラーメッセージ:
keytool error: java.lang.Exception: Public keys in reply and keystore don't match
考えられる理由:
秘密鍵が合いません。keystoreが複数ある場合は、別のkeystoreへの登録をお試しください。
合うkeystoreが見つからない場合は証明書の再発行となります。
JAVAアプレットを実行すると、証明書のエラーがでます。
JAVAの実行環境のバージョンによっては、グローバルサインのルート証明書が
登録されていないため、エラーが発生します。
閲覧環境を対応バージョンにアップデートすることによって回避可能ですので、
以下情報をご確認ください。
以下バージョンにてご利用可能となっております。
CISCO製品への証明書インストールでエラーになる。
ご利用の機器に、ルート証明書、中間証明書がインストールされていない場合、
証明書チェーンが確認できず、エラーとなることがございます。
以下よりダウンロードいただき、インストールを行ってください。
リポジトリ
https://www.kingssl.com/repository/index.html#root
CISCO製品についての詳細は、製品マニュアルや、ご購入窓口にてご確認くださいますよう
お願いいたします。
