このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

DNS設定(SSLを使用するにあたって)

発言者:昭彦
( Date Friday, July 14, 2000 16:53:24 )


いつもお世話になっております。
WebSTAR4.2 SSLの続きです。

日本ベリサインからセキュアーIDの再交付を受けました。
それでもうまく動作しないです。
「アクセス中のURL'https://www.bbb.com/test.htm'の読み込みに失敗しました」
となります。
Certificate & Private keyの取り扱いにたぶん間違いはないのですが、
DNSに問題がある様です?(原因はよく解りません)
DNSの設定は以下の通りですが、SSL認証を受けるのに問題点がありますでしょうか?
あるいは、DNSの設定自体に問題がありますでしょうか?

Server1:www.aaa.co.jp:210.***.***.178(DNS Primary)
Server2:www.bbb.com  :210.***.***.179
Server3:             :210.***.***.180(DNS Secondary)


File:aaa.co.jp.

aaa.co.jp.        NS      ns.aaa.co.jp.
aaa.co.jp.         NS      ns-tk023.ocn.ad.jp.aaa.co.jp.
aaa.co.jp.         MX        10                         ns.aaa.co.jp.
ns.aaa.co.jp.      A       210.***.***.178
virtual.aaa.co.jp. A       210.***.***.180
mail.aaa.co.jp.    CNAME   ns.aaa.co.jp.
www.aaa.co.jp.     CNEME   ns.aaa.co.jp.

--
File:bbb.com.

bbb.com.          NS        ns.bbb.com.                オーソリティブDNS
bbb.com.          NS        virtual.aaa.co.jp.                        セカンダリーDNS
bbb.com.          MX         10                        www.bbb.com.
www.bbb.com.      A         210.***.***.179                            www Server
mail.bbb.com.       CNAME   www.bbb.com.                               mail Server

--
File:176.XXX.YYY.210.in-addr.arpa.

176.XXX.YYY.210.in-addr.arpa.    A     255.255.255.240
176.XXX.YYY.210.in-addr.arpa.        NS   ns.aaa.co.jp.
176.XXX.YYY.210.in-addr.arpa.        NS   ns-tk023.ocn.ad.jp
178.176.XXX.YYY.210.in-addr.arpa.  PTR   ns.aaa.co.jp.
179.176.XXX.YYY.210.in-addr.arpa.  PTR   www.bbb.com.
180.176.XXX.YYY.210.in-addr.arpa.  PTR   virtual.aaa.co.jp.

以上です。
よろしくお願い致します。



→  WebSTAR4.2/SSL設定

昭彦 さんからのコメント
( Friday, July 14, 2000 16:58:20 )

あっ、まずい。
DNSの逆引きで、IPアドレスとドメインが、置き換えるのを忘れたまま
送信してしまいました。申し訳ありません...
どうすればよいでしょう? このままで良いですか?

田中求之 as 管理人 さんからのコメント
( Friday, July 14, 2000 17:26:21 )

修正しておきました

田中求之 さんからのコメント
( Friday, July 14, 2000 17:29:31 )

ns.bbb.com の定義が見当たらないようですが?

昭彦 さんからのコメント
( Friday, July 14, 2000 17:43:49 )

田中先生、修正の件お手数おかけし、申し訳ありません。
早速に有難うございました。

>>bbb.com.          NS        ns.bbb.com.
これは違うのですか?
どこを直したら良いでしょう?

稲垣 さんからのコメント
( Friday, July 14, 2000 17:58:31 )

>>>bbb.com.          NS        ns.bbb.com.
>これは違うのですか?
>どこを直したら良いでしょう?

 ちがいますね。これは、bbb.comというドメインをns.bbb.comであつかっているというだけ
の情報で、じゃあ、ns.bbb.comはどこにあるのかとう情報はないですよね。
 どこかにns.bbb.comのAかCNAMEを設定する必要があります。

#頑張って、DNS&BINDを読みましょう。

田中求之 さんからのコメント
( Saturday, July 15, 2000 01:15:04 )

bbb.com の DNS も 210.***.***.178 で動かしているわけですから

ns.bbb.com  A  210.***.***.178

ってのが bbb.com のゾーンファイルには必要では?

昭彦 さんからのコメント
( Saturday, July 15, 2000 12:35:05 )

稲垣さん、田中先生、コメントを有難うございます。
(稲垣さん、AutoShareの件、すみません。一旦、あきらめてます。
 商売上、SSLの設定が優先だったもので...。DNS&BINDは発注しました。)

>ns.bbb.com  A  210.***.***.178
これをFile:bbb.comに書き足せば宜しいのでしょうか?

bbb.comは、IP:210.***.***.179で動いていますが、
設定は、210.***.***.178でよろしいですか?
よろしくお願いします。

田中求之 さんからのコメント
( Saturday, July 15, 2000 14:25:52 )

>bbb.comは、IP:210.***.***.179で動いていますが、
>設定は、210.***.***.178でよろしいですか?

ns.bbb.com というか、bbb.com のホスト名を管理するネームサーバー(DNS
サーバ)は、178 のマシンでしょう?

昭彦 さんからのコメント
( Saturday, July 15, 2000 16:10:48 )

>ns.bbb.com というか、bbb.com のホスト名を管理するネームサーバー(DNS
>サーバ)は、178 のマシンでしょう?
なるほど、そういう意味なんですね。失礼致しました。

>ns.bbb.com  A  210.***.***.178
この設定をFile:bbb.comへ書き加えました。
これでDNSの設定は正しいのでしょうか?

気になる点がもう1点あります。
マニュアルのP.226の出ていますが、ステータスウィンドウに
「WebSTAR 4.2(SSL) Status:80」と出ているのが、Adminにて
SSL Securityの設定をしてSAVEすると、
「SSL context for 192.168.0.2:443 created」となるんですよね?
→マニュアル P.227

Stasus Windowが「WebSTAR 4.2(SSL) Status:80」のままって事は、
WebSTAR自体の設定が間違えているのでしょうか?
(こういう場合は、どこの設定がおかしいのでしょうか?)

田中求之 さんからのコメント
( Saturday, July 15, 2000 16:43:59 )

>SSL Securityの設定をしてSAVEすると、
>「SSL context for 192.168.0.2:443 created」となるんですよね?

>Look at the server Status window. You should see a message confirming
>that the SSL certificate was accepted:

「サーバの Status Window を見てください。(以下のような)SSL Certificate
を受け付けたということを確認するメッセージが表示されているはずです」

ということですから、ウィンドウにメッセージが表示されるのであって、
ウィンドウのタイトルが変わるのではありません。

昭彦 さんからのコメント
( Saturday, July 15, 2000 17:41:40 )

Status Windowの件よく、解りました。有難うございます。

では、DNSに焦点をあてて問題点を探すしかなさそうですね(^^;
他に、DNS設定で間違えはないですか?

昭彦 さんからのコメント
( Sunday, July 16, 2000 10:47:47 )

どうにもお手上げの状態です。こういう場合は、どこから手をつければ
良いのでしょうか?
どうしたら良いのか、解らないので、
日本ベリサインにもメールで問い合わせをしました。
週明けに回答が来るでしょう。
新規登録料、85,050円がムダになるのが恐いです...

SSLってこんなに難しいなんて思いませんでした。
SSL Server立ち上げていらっしゃる方で、ヒントは頂けませんでしょうか?

大西恒樹 さんからのコメント
( Sunday, July 16, 2000 11:21:46 )

>どうにもお手上げの状態です。こういう場合は、どこから手をつければ
>良いのでしょうか?

まず冷静になりましょう。
最初にwww.bbb.comの名前が引けているかどうか確認します。
次にhttp://www.bbb.com/でアクセスして、ポート80で動いているか
どうかを確認し、それからポート443を確認します。


>Stasus Windowが「WebSTAR 4.2(SSL) Status:80」のままって事は、
>WebSTAR自体の設定が間違えているのでしょうか?

ブラウザはhttpsでアクセスした時はポート443を見にいきますので、
その可能性は高いのでは?

田中求之 さんからのコメント
( Sunday, July 16, 2000 11:24:03 )

そもそも、SSL ではない場合には bbb.com のページにはちゃんとアクセス
できているのでしょうか? 普通のページの場合に問題ないのであれば、
DNS の設定のもんだいではないということになります。

SSL の問題なのか、バーチャルドメインの設定の問題なのか、このへんを
きちんと見極めないと、解決できないと思いますが。

昭彦 さんからのコメント
( Sunday, July 16, 2000 11:41:10 )

ああ〜良かった。
大西さん、田中先生、コメント有難うございます。
心強いです。(^^)

http://www.bbb.com:80はちゃんとアクセス出来ます。問題ないです。
http://www.bbb.com:443はアクセス出来ません。
-'アクセス中のURL:http://www.bbb.com:443'の読み込みに失敗しました。-
となります。

210.***.***.179を「Socket Sifter」で
Port Scanすると443は空いている様です。

バーチャルドメインの設定は、どこを見る事によって問題点を見つける事が
可能なのでしょうか?

田中求之 さんからのコメント
( Sunday, July 16, 2000 12:27:32 )

>http://www.bbb.com:80はちゃんとアクセス出来ます。問題ないです。

とすれば、バーチャルドメイン(DNS)の設定は問題ないと思われます。

>http://www.bbb.com:443はアクセス出来ません。

これは当然では? ポート 443 は SSL ですから。

https://www.bbb.com/

はどうなんですか?

昭彦 さんからのコメント
( Sunday, July 16, 2000 13:09:47 )

>https://www.bbb.com/
>はどうなんですか?

問題ないです。アクセス可能です。
ログを見ても外からのアクセスを受けています。

田中求之 さんからのコメント
( Sunday, July 16, 2000 15:16:37 )

>問題ないです。アクセス可能です。

ということは、ちゃんと SSL サーバが動いているってことではないん
ですか???

昭彦 さんからのコメント
( Sunday, July 16, 2000 15:32:37 )

すみません、間違えました。
>https://www.bbb.com/
  ---
  ↑
 「s」がついていたんですね。(申し訳ございません)

httpsになると、見る事が出来ません。

https://www.bbb.com/test.htm 
http://www.bbb.com:433/test.htm 両方ともダメです。

昭彦 さんからのコメント
( Sunday, July 16, 2000 15:39:03 )

>https://www.bbb.com/test.htm 
>http://www.bbb.com:433/test.htm 両方ともダメです。
                   -----
                    ↑
         「443」の間違えでした。

このtest.htmは大きな画像も、Java scriptも使用していません。
test.htm→test2.htmへ<A HREF="https://www.bbb.com/test2.htm">と
処理をしてtest2.htmにSSLをかけようとしてもダメです。

田中求之 さんからのコメント
( Sunday, July 16, 2000 16:32:44 )

>https://www.bbb.com/test.htm

これにアクセスできないとき、サーバ側にはどのような表示が出ている
んでしょうか?

昭彦 さんからのコメント
( Sunday, July 16, 2000 16:57:44 )

http://www.bbb.comをhttps://www.bbb.comに入力し直して、Enter key。
            --
Enter Keyを押した瞬間に、
「'アクセス中のURL:http://www.bbb.com/test.htm'の
  読み込みに失敗しました。」というダイアログが出てきます。
test.htm→test2.htmの場合も同じです。
WebSTARのログには何も反応がありません。
http://www.bbb.com/test.htmは、ログに表示されます。
https://www.bbb.com/test.htmは、無反応です。
   ---

田中求之 さんからのコメント
( Sunday, July 16, 2000 19:07:37 )

…となると、やはり SSL の設定の問題なのでしょうかね。

マニュアルどうりに設定をおこなって、ステータスウィンドウに

SSL context for 192.168.0.2:443 created

という(IP の部分は異なる)メッセージが表示されるところまで、
きちんと設定済みなんですよね?

昭彦 さんからのコメント
( Sunday, July 16, 2000 19:27:16 )

いいえ、ところが...

>SSL context for 192.168.0.2:443 created

というメッセージがどこにも見当たりません。
って事は、設定上の問題なのでしょうか?
マニュアルの通りにやっているはずなのですが...

田中求之 さんからのコメント
( Sunday, July 16, 2000 19:41:34 )

>というメッセージがどこにも見当たりません。

これは、設定時に1回だけ表示されるものだと思いますよ。

昭彦 さんからのコメント
( Sunday, July 16, 2000 20:02:28 )

設定時にも、お見かけしていません。

>「サーバの Status Window を見てください。
>(以下のような)SSL Certificate
>を受け付けたということを確認するメッセージが表示されているはずです」

Status Windowにメッセージが表示されるんですよね?
そうなったのを見た事ないです。

WebSTARを再インストールすべきですか?
他に方法がありますでしょうか?

WebSTAR AdminのSSL Securityで、
1,Security:SSL 2 & SSL3
2,SSL Certificate File:SSL:Certificate ←これを選択
  Private Key File:SSL:Private Key   ←これを選択
  Private Key Password:・・・・・・・・ ←正しく入力
3,Encription Options:Mac(No Encription),RC4-40,DES-40に各チェック。
4,SAVEボタンを押して、Adminを終了し、WebSTAR4.2をリスタート

この様に設定を行いました。

田中求之 さんからのコメント
( Sunday, July 16, 2000 23:24:08 )

>4,SAVEボタンを押して

マニュアルによると、この時点で表示されるはずなんですが…

もっとも、私は実際に SSL を運用したことが無いので、マニュアルに書いてある
こと以上はわかりません(SSL の設定したら、起動時にもなんかメッセージ
ぐらいでてきそうだけどなぁ)。

実際に運用されている方、フォローよろしく

昭彦 さんからのコメント
( Tuesday, July 18, 2000 12:43:22 )

SSL運用されている方、どなたか、ヒントを下さい。

WebSTARを再インストールして見ようと思いますが、
Privete KeyとCertificateは、コピーしなければ、壊れてしまうまた、
タイムスタンプが変わってしまうという事はないですよね?

昭彦 さんからのコメント
( Tuesday, July 18, 2000 13:26:22 )

WebSTAR4.2をリスタートすると、こんなメッセージが...

SSL certificate :SSL:Certificate could not be imported.  
(Bad/Unsupported format, or does not match private key.)

これって、Private Keyが壊れてしまったって事なのですか?
ああ〜、どうすればイイののでしょう?

WebSTAR3.02/SSLで試して見るってのも有りですか?

344 さんからのコメント
( Tuesday, July 18, 2000 18:17:44 )

>SSL certificate :SSL:Certificate could not be imported.  
>(Bad/Unsupported format, or does not match private key.)

私も相変わらずここでつまずいたままです。

アイ・ツウ様に問い合わせしたところ、以下のような原因が考えられるとの
事でした。御参考までに。

・生成されたデジタルIDとプライベートキーが、WebSTAR4(SSLアップデート済み)
のルートフォルダーにない場合。
・認証要求を作成した際のオリジナルなプライベートキーファイルを使用していな
い。(これはコピーなどをしたり、再作成すると使用できなくなり、このエラーが
でます。(この現状が一般的には多く、認証要求ファイル(CRSリクエスト)を作成
した時のプライベートキーファイルと異なったていた場合によくあります。)
・認証要求のパスフレーズを間違えている場合
・認証要求時のディスティングイッシュネームとして登録したホスト名が、現在の
DNS上でAレコードとして登録されていないケース。(CNEMAではベリサインの場合
は認証されません。 例えば、ホストmac01.abc.co.jpがAレコードで定義さ
れ、CNAMEでwww.abc.co.jpが定義されている場合、認証要求時のディスティング
イッシュネームは、mac01.abc.co.jpでなければならず、www.abc.co.jpでは機能
しません。)
・WebSTAR側でバーチャルホストを使用しており、このバーチャルホスト名で認証
を要求し、DNSのAレコードと異なるか、ルートが異なる場所に定義している。
(SSLを使用する際は、ルートがWebSTARのあるフォルダーでなければなりません。)

この起動時のこの段階では、SSLの各ファイルの情報と実際にWebSTAR/SSLが稼動
している環境をチェックしているだけで、実際のSSLの機能はまだ動いていませ
ん。従ってSSLの機能が正しく動作している前に、何らかの環境チェックでひかっ
かり、登録内容と現実の環境に不整合が生じていることになります。

以上

あと、「WebSTAR4.2の「International」版かどうかの確認をして下さい」
ともありました。

どなたかWebSTAR4.2でSSLを導入成功した例って、御存知ないですか?

昭彦 さんからのコメント
( Wednesday, July 19, 2000 08:48:46 )

344さんも、いぜん出来ないのですね。(^^;

苦労しますね...

SSLの動作確認はサーバー上のブラウザでも(DNSを使わないような設定でも)
動作確認できると、ベリサインさんに言われましたが、どういう意味でしょう。
→メールにて確認中です。

ん〜 ヘタな事して、キーが壊れると、85,050円がパーになるし、
このままSSLが出来なくても同じだし...

困りましたね〜。

昭彦 さんからのコメント
( Wednesday, July 19, 2000 12:24:36 )

やりました。成功でーす。
いやー、うれしいです。やっと出来ました。
「Certificate」ファイル作成の手順違いでした。
CSR Utilityは使ってはいけません。

344さん、参考にして下さい。
セキュアーIDを日本ベリサインからメールで受け取りますよね。
そのIDをSimple Textで保存。保存名は「Certificate」にします。
ここで、CSR Utilityを使用して、ファイルを変換したと思いますが、
変換してはいけません。
Simple Textの書類のまま、Private Keyと同じフォルダへ入れます。
そして、WebSTAR4.2をリスタートして下さい。

(日本ベリサインからのアドバイスでわかりました。
 WebSTAR2.Xとか、3.Xの様に、セキュアーIDは、変換しないで、そのまま
 使用するとうまく動作するという人がいました、とヒントをもらって...)

ログが出てくるところに、
SSL context for 192.168.0.2:443 created
と表示されます。お試し下さい。

皆様、色々とご配慮、ご心配頂きまして、有難うございました。

344 さんからのコメント
( Friday, July 21, 2000 13:01:35 )

>やりました。成功でーす。
>いやー、うれしいです。やっと出来ました。
>「Certificate」ファイル作成の手順違いでした。
>CSR Utilityは使ってはいけません。

昭彦さん、おめでとうございます。

>Simple Textの書類のまま、Private Keyと同じフォルダへ入れます。
>そして、WebSTAR4.2をリスタートして下さい。

そうなんですか。ドキュメントに書かれている事とちょっと違いますね。(^_^;)
参考にさせて頂きます。
有り難うございます。

石津@RJC さんからのコメント
( Wednesday, July 26, 2000 10:44:36 )

>(日本ベリサインからのアドバイスでわかりました。
> WebSTAR2.Xとか、3.Xの様に、セキュアーIDは、変換しないで、そのまま
> 使用するとうまく動作するという人がいました、とヒントをもらって...)

うまくいったようでなによりです。
実はこのベリサインへの情報提供は私がモトネタです。
弊社のSSLサーバのID更新を7月に行ったのですが、この際皆さんと同様の
トラブルが起き、結局ドキュメント検索と試行錯誤の結果、うまくいくこと
ができました。

この際にこれまでWebStarSSL3.0.2で運用してきたサーバを4.2までアップし
ましたが、CSR作成ツールが3.0-4.0-4.2で微妙に変遷しているのでちょっと
わかりにくいんですよね。

基本的に互換性はあるようなのですが、無用の混乱を避ける意味でもドキュ
メントは整理して欲しいなぁと思いました。

ベリサインには再申請手続きまでお願いしてしまったのですが、とにかく
WebStarに関するノウハウはベリサインにはないということなので、結局自
力解決するしかないというのがちょっと残念ですね。
セキュリティに配慮するというなら、もっとWebStar使われててもいいと思
うんですけどね...。あんまり件数は多くないそうな。