2018/09/24
Let's Encryptの証明書をapache 2.2にインストールするときのはまりどころ
ふと OpenSSL で証明書の検証がどうなってるかをチェックしてみた。
% openssl s_client -connect localhost:443 -showcerts < /dev/null
(省略)
    Verify return code: 21 (unable to verify the first certificate)


はい?


しかも Certificate chain が 1つしか出てこない。
おかしいと思ってぐぐってみると、どうも httpd-ssl.conf で SSLCertificateChainFile に中間証明書を指定しなければならないらしい。
というわけで
SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/cert.pem"
SSLCertificateChainFile "/usr/local/apache2/conf/ssl.crt/chain.pem"
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.key/privkey.pem"
と指定して再起動してから openssl を叩いてみたら無事に "Verify return code: 0 (ok)" となった。

ちなみに Postfix は smtp_tls_CAfile に中間証明書を指定する。

proftpd は TLSCACertificateFile に中間証明書を指定する。

参考:
% openssl s_client -connect localhost:443 -showcerts < /dev/null

% openssl s_client -connect localhost:25 -starttls smtp -showcerts < /dev/null

% openssl s_client -connect localhost:110 -starttls pop3 -showcerts < /dev/null

% openssl s_client -connect localhost:143 -starttls imap -showcerts < /dev/null


最終:2018/09/24 02:23:40 カテゴリ:
タグ:鯖管理
  - NO COMMENT -
QRコード
携帯サイト試験運用
https://griffonworks.net/nikki/cgi-bin/k.cgi
1行板

備忘録
  • 無し
物欲リスト
  • cactus RF60 (3本目)
    Godoxに化けました(
  • ZD 50mm Macro
  • TG-TRACKER
  • NISSIN LS-50C
  • Godox Xpro-C
  • F2以下の24mm単焦点
  • Canon EF85mm F1.8 中古
  • Canon EF50mm F1.2L USM 中古
  • Canon EF135mm F2L USM 中古
  • Canon EF100mm F2.8L IS USM 中古
  • ニンバス チヌーク
ツーリング ドライブ兼野外撮影予定リスト