はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。

 SSLサーバー(Apache編)
日時: 2006/07/29 17:42
名前: KUNI

?不明点・障害内容:SSL通信が出来ない
?ログの有無   :
  (有:その内容):
?Distribution  :fedora core
      Version:5
?Service Name  :
      Version:
?ネットワーク構成:ルーターからサーバー機とクライアント機(windows) WANは固定IP

いぜんメールサーバーの件でお世話になりました、KUNIです。

管理人さん、こんばんは。

SSL通信を使用するにあたり、一通り設定しました。

サーバー機からはSSL発行が確認されておりますが、クライアント機からはSSL発行が出来ておりません。

ポート開放を見たところ、443は開放されておりません。

192.168.1.29がサーバー機のアドレスですので、クライアント機からブラウザでWEBサーバーにアクセスするとSSLじゃない場合は

閲覧が可能です。

一点気になる事がありまして、

[root@◯◯◯◯ conf]# /etc/rc.d/init.d/httpd restart
httpd を停止中:                      [ OK ]
httpd を起動中: httpd: apr_sockaddr_info_get() failed for ◯◯◯◯.◯◯◯◯.in
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
                              [ OK ]

とでます。
ルータではポートを開放していまして、たぶんルータのせいでは無いと思われます。他のポートは開放出来ますので
Apache側の設定ミスなのかな?と思っております。

何か考えられる事はありますでしょうか?

お手数ですがよろしくお願い致します。

■ コンテンツ関連情報

 Re: SSLサーバー(Apache編) ( No.1 )
日時: 2006/07/29 18:02
名前: 管理者

KUNIさん、こんにちは。

> Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
FQDN(完全修飾ドメイン名)を決定する事が出来ませんでした・・・と出力されていますね。

ホスト名解決ファイル「/etc/hosts」の内容が以下の様になっていますか?(DNSサーバを構築していない場合です)

# cat /etc/hosts
127.0.0.1        localhost.localdomain localhost
192.168.1.29      ◯◯◯◯.◯◯◯◯

※「◯◯◯◯.◯◯◯◯」はKUNIさんのサーバのFQDNです。
 Re: SSLサーバー(Apache編) ( No.2 )
日時: 2006/07/29 18:58
名前: KUNI

早速のお返事ありがとうございます。

127.0.0.1    localhost.localdomain  localhost

と表示されました。
192.168.11.29は表示されていませんでした。
 Re: SSLサーバー(Apache編) ( No.3 )
日時: 2006/07/30 08:19
名前: 管理者

では、ホスト名解決ファイルにKUNIさんのサーバを定義(追加)して再度確認してみて下さい
(システムやサービスの再起動の必要はありません)

# vi /etc/hosts
127.0.0.1        localhost.localdomain localhost
192.168.1.29      ◯◯◯◯.◯◯◯◯
 Re: SSLサーバー(Apache編) ( No.4 )
日時: 2006/07/31 00:40
名前: KUNI

hostsの件を修正しました。
管理人さんにいわれた通り追加し、確認をしたところ、今度はhostsはちゃんと表示されておりました!

自分でもいろいろ調べてみたりしましたが、
以前として、クライアント機(192.168.11.92)からは証明発行を見ることは出来ない状態です。
いろいろお手数をお掛けしますがよろしくお願い致します。
 Re: SSLサーバー(Apache編) ( No.5 )
日時: 2006/07/31 12:00
名前: 管理者

apacheサービス「httpd」を再起動しましたか?
またこの時にエラーログに何か出力されましたか?(「/var/log/httpd/error_log」)

> 以前として、クライアント機(192.168.11.92)からは証明発行を見ることは出来ない状態です。
クライアントから「https://サーバ名/」でアクセスしていますよね?
(IPアドレスではない。また、「サーバ名」はサーバ証明書で発行したサーバ名になります)
 Re: SSLサーバー(Apache編) ( No.6 )
日時: 2006/07/31 21:55
名前: KUNI

管理人さん、ご返信ありがとうございます。

apacheのサービスは再起動させております。

>クライアントから「https://サーバ名/」でアクセスしていますよね?
443ポートをルータでは開けているのですがチェックをするを開いておりません。
ですのでhttps://192.168.11.29で対応させております。

ルータは買い替えたばかりで、念の為80番ポートの開閉をしてみましたらちゃんとポートの開閉は出来ておりましたので
どこかのconfファイルの設定か何かでつまづいたのか、それ以外の何かの設定ミスなのか?と思っております。
apacheとmod_sslについてはアンインストールからインストール、設定を3回一字づつ確かめながらやりなおしましたが
443ポートが開かない状態で苦しんでおります。
443ポートさえ開けば何とかなるんだとは思うのですが…。ルータの再起動なども行いましたが以前としてダメです。
違うといえば、mod_ssl付属の"sign.sh"シェルスクリプトのバージョンがサイトに記述されている2.8.19-1.3.31が
落とせなかった(配布終了!?)ので2.8.28-1.3.37を落として同じような作業手順でやりました。

/etc/httpd/conf.d/ssl.conf の設定事項で設定する箇所の上下の文章がいささか違っていたかな?という具合です。


以上、よろしくお願い致します。
 Re: SSLサーバー(Apache編) ( No.7 )
日時: 2006/07/31 22:09
名前: 管理者

一つ確認したいのですが、サーバにアクセスしている時は「https://192.168.11.29」でアクセスしているんですよね?

これはローカルからアクセスしているので、一般的なルータはLAN内ではFree Hole(ポートは全通)のはずです。
(ローカル内でもポート開閉できるルータであったら、すみません・・・)

サーバ側はアクセス先のアドレス(今回では「192.168.11.29」)と検証するのでマッチしないのでアクセスできないと思われます。


取り急ぎクライアント(Windowsの場合)のhostファイル「x:\WINDOWS\system32\drivers\etc\hosts」にサーバを定義して確認してみて下さい。

「x:\WINDOWS\system32\drivers\etc\hosts」の内容
127.0.0.1    localhost
192.168.11.29  ◯◯◯◯.◯◯◯◯


追記:
> 違うといえば、mod_ssl付属の"sign.sh"シェルスクリプトのバージョンがサイトに記述されている2.8.19-1.3.31が
> 落とせなかった(配布終了!?)ので2.8.28-1.3.37を落として同じような作業手順でやりました。

たぶん、バージョンが違っても大丈夫と思います。
 Re: SSLサーバー(Apache編) ( No.8 )
日時: 2006/07/31 22:51
名前: KUNI

早速のご対応ありがとうございます。

windows(クライアント機:192.168.11.92)のhostsを変更し、アクセスしてみましたが
表示はされませんでした。

もう一度まとめてみますと

サーバー機(192.168.11.29)自身でhttps://192.168.11.29に接続をすると
SSLが動作し証明発行の画面が出ます。
また、サーバー機(192.168.11.29)から取得しているドメイン(【仮ドメイン名】https://kuni.in)で
アクセスしたところ、ポート443は開いていないせいか見る事は出来ておりません。
http://kuni.inは見れます。

windowsクライアント機(192.168.11.92)からhttps://192.168.11.29に接続したところ接続が出来ません。
http://192.168.11.29は見れます。
また、外部からの接続でhttps://kuni.inは見れる状態です。
ポート80番は開いております。

また、SSL証明を確認する際はポート80番はずっと開けておいた方が良いのでしょうか?

 Re: SSLサーバー(Apache編) ( No.9 )
日時: 2006/07/31 23:32
名前: 管理者

当方でも纏めてみますと・・・
                  下記の表はLAN内からのアクセス
┌─────────┬──────────┬──────────┐
│         │   IPベース   │  Nameベース   │
│  プロトコル  ├───┬──────┼───┬──────┤
│         │サーバ│クライアント│サーバ│クライアント│
├─────────┼───┼──────┼───┼──────┤
│通常アクセス(http)│ ○ │  ○   │ ○ │  ?   │
├─────────┼───┼──────┼───┼──────┤
│SSLアクセス(https)│ ○ │  ×   │ × │  ?   │
└─────────┴───┴──────┴───┴──────┘

上記で良いのですよね??

> また、外部からの接続でhttps://kuni.inは見れる状態です。
外部からのアクセスは上記のみですか?
それにしても、LAN内からSSLアクセス出来なくて外部からアクセスできるのが腑に落ちないのですが。
この外部から「https://kuni.in」でアクセスできなければ、サーバ証明書の作成に誤りがあると断言できそうです・・・

恐れ入りますが、もう少し詳しい情報(LAN内からのそれぞれのアクセス結果と外部からのそれぞれのアクセス結果)を教えて頂けますか?
※:「それぞれ」とは、「サーバ・クライアント」のアクセスと「IPベース・ネームベース」のアクセスをお願いします。
 Re: SSLサーバー(Apache編) ( No.10 )
日時: 2006/07/31 23:38
名前: KUNI

管理人さん、申し訳ありません。
記述にあやまりがあります。 

                 下記の表はLAN内からのアクセス
┌─────────┬──────────┬──────────┐
│         │   IPベース   │  Nameベース   │
│  プロトコル  ├───┬──────┼───┬──────┤
│         │サーバ│クライアント│サーバ│クライアント│
├─────────┼───┼──────┼───┼──────┤
│通常アクセス(http)│ ○ │  ○   │ ○ │  ○   │
├─────────┼───┼──────┼───┼──────┤
│SSLアクセス(https)│ ○ │  ×   │ × │  ×   │
└───────────────────────────────┘

この現在この状態です。

申し訳ありません (汗)
これで何か分かる事はありますか?
 Re: SSLサーバー(Apache編) ( No.11 )
日時: 2006/07/31 23:51
名前: 管理者

httpsでIPアクセス出来ている点を除けば、サーバ証明書の作成が誤っている様に思います。

/var/log/httpd/errlogに何らかのメッセージが出力されていませんか?

あと、ブラウザーによってもアクセス出来ない事象があると、どこかで見た記憶があります。
ブラウザーを変えてみるのも手かもしれません。
 Re: SSLサーバー(Apache編) ( No.12 )
日時: 2006/08/01 01:52
名前: KUNI

何度もありがとうございます。

証明書なんですが、これは最終で管理人さんの記述をコピペしてやっておりました。
他の方々からの間違いとしての指摘がない分、自分のタイプよりは信用性が高いと思ってやってみましたが
以前として同じ結果が返される状態であります。

/var/log/httpd/error_logには以前としてエラーは出ておりません。

ブラウザはクライアント機でfirefox、IE、スレイプニル、operaで調べましたがアクセス出来ませんでした。

ポートが開いてくれないのが一番気がかりです。
以前、メールサーバーの件でお世話になった時、以前のルータは確実に壊れていたのが原因だったのですが
買い換えた時にpostfixの設定ミスでポートが開かなかった事を考えると自分のサーバー機の
ネットワークなのかhostsなのかそれともmod_sslの設定ミスなのか色々考えてしまいます。

たとえば、1から設定をやりなおすとすれば
一度mod_sslとapacheをアンインストールした方がいいのでしょうか??
apacheとmod_sslは昨日アンインストールし、一から貴サイトを見ながら丁寧にやったつもりではいたのですが。
 Re: SSLサーバー(Apache編) ( No.13 )
日時: 2006/08/01 05:54
名前: 管理者

何度も確認されておられる様なので、再インストール等はする必要はないでしょう。

> 証明書なんですが、これは最終で管理人さんの記述をコピペしてやっておりました。
勿論、ホスト名とサーバ名はご自身のサーバに置き換えていますよね?



まさか、ファイアウォールが有効になっていたりしませんか?
 Re: SSLサーバー(Apache編) ( No.14 )
日時: 2006/08/01 06:41
名前: KUNI

管理人さん、おはようございます。

確認した所、ファイヤーウォールはdisable、SElinuxもdisableにしておりしっかり切っております。

ホスト名とサーバ名は自分用に置き換えております。
 Re: SSLサーバー(Apache編) ( No.15 )
日時: 2006/08/01 10:10
名前: 管理者

おかしいですね・・・

では、以下の事を確認してみて下さい。

?クライアント(Windows)のDOS窓を起動してください
?コマンドラインよりtelnetでサーバのポート443に向けて起動します
  > telnet 192.168.1.29 443
?画面は真っ黒のままで判りづらいですが、以下コマンドを入力してエンターキーを押下します。
 (コピー&ペーストした方が無難です)
  HEAD / HTTP/1.0
?カーソルが1ライン下がったら、もう一度エンターキーを入力します。
 (何らかの結果がDOS窓に返却されると思います)
?サーバのログ「/var/log/httpd/」のssl関連ログに何か出力はありますか?(対象ファイルは以下)
  ・ssl_request_log
  ・ssl_access_log
  ・ssl_error_log

上記作業中で?で応答がなければポートが開いていない、?以降であればポートは開いているが、サービスまたは認証がうまくいっていないと切り分けられます。
 Re: SSLサーバー(Apache編) ( No.16 )
日時: 2006/08/04 02:05
名前: KUNI

管理人さん、ありがとうございます。

レスが遅れました。
Linuxを勉強する者としていい手ではありませんが一度、OSの再インストールをして
全部セッティングしてみましたら、今度はちゃんとポートが開いていました。
どこが原因か追求が出来ませんでしたが今はトラブルなく正常に動いています。

ポートが開かない件について、一度ポートが開いた状態から
SELinuxとファイヤーウォールをONにしましたらポートは閉じてしまいました。
この2つをONにするとapacheやpostfixなどで設定したポートも全て閉じており
SElinuxをOFF・ファイヤーウォールをONにすると443ポートだけ閉じておりapacheやpostfixなどで使用する
ポートは開いておりました。再インストールする前の確認は上記のとおり両方OFFにしていたのを
確認してます。一概に言えないですが例えば、ファイヤーウォールを設定すると自分のサーバーで使用しているサービスでは443ポートだけ開かないと仮定するならば再インストールする前は
ファイヤーウォールをもう一度ON・OFFにしてみても良かったのかな?と考えました。(相性の問題で)

以前、このサーバー機にはwindows XPが入っており、音楽系のアプリケーションとhtml作成ソフトのDreamweaver、ノートンは動作に不具合が出てました。自作PCという事もあり、そこらへんの
相性問題というもの今回の原因の一つの可能性として考えられますでしょうか!?
 Re: SSLサーバー(Apache編) ( No.17 )
日時: 2006/08/04 03:10
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

相性というよりは設定の問題でしょう。
SELinuxもFirewallも切って使えば問題ありません。

Firewallって役に立ちそうにみえますけどサーバー立ててる以上、結局
サービスポートは開けざるを得ないわけで。
 Re: SSLサーバー(Apache編) ( No.18 )
日時: 2006/08/07 02:20
名前: KUNI

Johannさん、どうもありがとうございます。

事前にファイヤーウォールやSElinuxを切っていたのを確認していたんですが
もっとこまめにここら辺をチェックしてからでも良かったかなと今は思っております。
どうもありがとうございました。

管理人さんもいつも丁寧なご対応に感謝しております。
ありがとうございました。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.