質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
さくらのクラウド

さくらのクラウドは、さくらインターネット株式会社が提供するIaaS型のクラウドサービス。仮想化技術による柔軟性のあるカスタマイズを始め、様々な高機能を備えています。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

2回答

2349閲覧

さくらVPSサーバに対し、ラピッドSSLの設定をしてもエラーになる件

ebsffzal

総合スコア107

さくらのクラウド

さくらのクラウドは、さくらインターネット株式会社が提供するIaaS型のクラウドサービス。仮想化技術による柔軟性のあるカスタマイズを始め、様々な高機能を備えています。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

0グッド

1クリップ

投稿2018/03/06 02:53

編集2018/03/06 04:52

識者の皆様へ件名について質問させていただきます。

さくらVPSにラピッドSSLを導入しようとし、以下のようなエラーが
取り除くことができない状況です。

対応した内容をまとめますので、お力をお貸しいただきたいです。
(かれこれ1日以上ハマってしまいました・・・)

■環境
さくらVPS(CentOS7)
お名前comで取得したドメイン
ラピッドSSL

■対応した内容
①さくらVPSでCentOS7をインストールして、LAMP環境を構築
②お名前comで取得したドメインを設定
③「http」アクセス時は問題なくシステムが見える(使える)ことを確認
④ラピッドSSLにて契約、各種サーバ証明書を設定
⑤設定後、「http」「https」両方ともアクセス不能
⑥設定ファイルの記載方法設置場所等を見直し、試行錯誤をしています

■参考にさせていただいたURL
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2

■発生しているエラー
「service httpd restart」を入力すると、apacheが起動しないので、
「systemctl status httpd.service」と入力した結果、以下のようなエラーになることを確認しました。

(サーバ名とドメイン部分は便宜上xxxxxxxxxにしています)

apache

1● httpd.service - The Apache HTTP Server 2 Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) 3 Active: failed (Result: exit-code) since 火 2018-03-06 11:30:52 JST; 2min 28s ago 4 Docs: man:httpd(8) 5 man:apachectl(8) 6 Process: 2276 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE) 7 Process: 2274 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE) 8 Main PID: 2274 (code=exited, status=1/FAILURE) 9 10 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: In order to read them you have to provide the pass phrases. 11 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: Server xxxxxxxxx.net:443 (RSA) 12 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: Enter pass phrase:Apache:mod_ssl:Error: Private key not found. 13 3月 06 11:30:52 vs.sakura.ne.jp httpd[2274]: **Stopped 14 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE 15 3月 06 11:30:52 vs.sakura.ne.jp kill[2276]: kill: cannot find process "" 16 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service: control process exited, code=exited status=1 17 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: Failed to start The Apache HTTP Server. 18 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: Unit httpd.service entered failed state. 19 3月 06 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service failed.

■備考
・サーバ側のSSL設定手順については、バーチャルホストを使用
「xxxxxxxxx.net」にアクセスすると、「/var/www/html/xxxxxxxxx/」が見えることを想定しています。

・apacheのバージョンは2.4.6

・各設定ファイルのおき場所は以下のようにしました。

ssl関係のファイル

apache

1/etc/httpd/conf/ssl.crt/internal.crt 2/etc/httpd/conf/ssl.crt/server.crt 3/etc/httpd/conf/ssl.key/server.key

設定ファイル

apache

1/etc/httpd/conf.d/vhost.conf 2/etc/httpd/conf.d/ssl.conf

・ssl.confは、色々試行錯誤したところ、現在は全てコメントアウトしています。

・vhost.confは以下のように記載しました。
(色々と設定項目や値を調整していたので、漏れや抜けがあるかもしれませんが、現在の最終系です)

apache

1<VirtualHost *:80> 2 DocumentRoot /var/www/html 3 # ServerName 4</VirtualHost> 5 6# setting for ssl 7LoadModule ssl_module modules/mod_ssl.so 8Listen 443 9#NameVirtualHost *:443 10 11SSLPassPhraseDialog builtin 12SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) 13SSLSessionCacheTimeout 300 14#SSLMutex default 15Mutex default ssl-cache 16SSLRandomSeed startup file:/dev/urandom 256 17SSLRandomSeed connect builtin 18SSLCryptoDevice builtin 19 20# setting for caratinc.jp domain 21<VirtualHost *:443> 22 SSLEngine on 23 SSLProtocol all -SSLv2 -SSLv3 24 25 SSLCertificateChainFile /etc/httpd/conf/ssl.crt/internal.crt 26 SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt 27 SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key 28 29 DocumentRoot /var/www/html/xxxxxxxxx 30 ServerName xxxxxxxxx:443 31 32 CustomLog logs/xxxxxxxxx.net_ssl.access_log common 33 ErrorLog logs/xxxxxxxxx.net_ssl.error_log 34 35 AddDefaultCharset UTF-8 36 <Directory "/var/www/html/xxxxxxxxx"> 37 AllowOverride All 38 Options Indexes FollowSymLinks 39 </Directory> 40</VirtualHost>

以上になります。
エラー内容が明確に分かってはいるのですが、色々と試行錯誤しても解決に至っておりません。
何卒どうぞよろしくお願い致します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

CHERRY

2018/03/06 03:00

「Enter pass phrase:Apache:mod_ssl:Error: Private key not found. 」ということですが、秘密鍵のパスワードは、Apache起動時に入力していますか?
ebsffzal

2018/03/06 03:05

ありがとうございます。秘密鍵のパスワード(パスフレーズ?)は設定していますが、apache起動時には入力を求められませんでした。
CHERRY

2018/03/06 03:20

すでに停止状態かもしれませんが、service httpd stop で停止させて、service httpd start だとどうでしょうか?
CHERRY

2018/03/06 03:22

今回のエラーとは関係ないと思いますが、ラビッドSSLの場合、中間証明書が必要かと思いますが、中間証明書は設定されていますか?
ebsffzal

2018/03/06 03:26

回答ありがとうございます!service httpd stop後にservice httpd startしても状況は同じでした。
ebsffzal

2018/03/06 03:27

中間証明書については、以下のサイトの「1) 2017年11月30日(木) マネージドCA対応以降に発行された証明書:」の値を設定しました。
guest

回答2

0

ベストアンサー

/etc/httpd/conf/ssl.key/server.key 等のファイルが存在している前提ですが....

SSLのパスフレーズ(Pass Phrase Dialog)入力を省略してApacheを起動する の「2.パスフレーズ応答スクリプトを設定する」の設定をしたら、起動しないでしょうか?

投稿2018/03/06 03:42

CHERRY

総合スコア25171

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ebsffzal

2018/03/06 04:02

回答ありがとうございます! 上記のURLを参考にパスフレーズが無いkeyファイルを作り、httpdを起動してみました。 パっと見、エラー表示は消えたようですが、サーバへのアクセスはできませんでした。 起動時(systemctl status httpd.service)の結果は、以下のようになりました。 ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) Active: failed (Result: exit-code) since 火 2018-03-06 13:00:49 JST; 9s ago Docs: man:httpd(8) man:apachectl(8) Process: 2624 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE) Process: 2622 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE) Main PID: 2622 (code=exited, status=1/FAILURE) 3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Starting The Apache HTTP Server... 3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE 3月 06 13:00:49 vs.sakura.ne.jp kill[2624]: kill: cannot find process "" 3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service: control process exited, code=exited status=1 3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Failed to start The Apache HTTP Server. 3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Unit httpd.service entered failed state. 3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service failed.
ebsffzal

2018/03/06 04:05

もしかすると、参考URLの中の「パスワード自動応答スクリプトを設置する」というシェルは必須でしょうか? 現状、このシェルは設定しておらず、keyファイルのみ新しく作成している状態です。
CHERRY

2018/03/06 04:20

パスワードなしの鍵を使う場合は不要です。
CHERRY

2018/03/06 04:21

error_log にエラーメッセージは出てないでしょうか?
ebsffzal

2018/03/06 04:29

なるほどです。 せめて原因の切り分けをしたいところですが、サーバ側の知識不足で苦戦中です。。。
ebsffzal

2018/03/06 04:31

/var/log/error_logを確認したところ [Tue Mar 06 13:30:06.053224 2018] [suexec:notice] [pid 1598] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Tue Mar 06 13:30:06.054507 2018] [ssl:emerg] [pid 1598] AH02311: Fatal error initialising mod_ssl, exiting. See /etc/httpd/logs/xxxxxxxxxxxxxxx_ssl.error_log for more information のようになっていました。 xxxxxxのところは便宜上書き換えています。 mod_sslの記述がNGでしょうか。。
ebsffzal

2018/03/06 04:32

また、/etc/httpd/logs/xxxxxxxxxxxxxxx_ssl.error_logを見ると [Tue Mar 06 13:30:06.054462 2018] [ssl:emerg] [pid 1598] AH02238: Unable to configure RSA server private key [Tue Mar 06 13:30:06.054500 2018] [ssl:emerg] [pid 1598] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch のような記述でした。 このあたりが原因でしょうか!
ebsffzal

2018/03/06 04:44

https://www.dondari.com/SSL%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%A8%E3%83%A9%E3%83%BC このURLを参考に、CSRとSSL証明書のModules部分の比較を行ってみました。 この値が一致していないとNGらしいですが、どこでどう違ってしまったのか。。。 ■crtファイル Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:de:9d:21:13:11:c4:56:e1:94:35:e3:4b:69:20: 50:3a:e4:01:36:20:88:aa:29:4e:a9:50:4b:9b:ef: 83:8d:d4:36:6d:93:bc:85:12:9d:88:95:6e:e7:e2: 9b:43:8f:d8:46:62:3c:bd:d1:41:32:e8:2e:2b:3f: 1c:f6:08:68:0f:24:ac:1e:fd:a6:2e:51:55:bd:a2: f2:21:cb:c3:ea:81:94:d6:64:43:fd:8c:b3:4a:3c: c7:ce:82:ff:b6:b2:4c:c1:3a:16:ad:15:e6:a1:1f: 09:22:45:ae:4b:2f:40:70:17:00:59:d7:b6:b8:b7: 33:af:9b:98:de:b6:1b:d5:15:33:79:ff:05:a5:85: 9f:1e:0a:a7:44:a9:9d:26:a4:69:2e:f3:07:0c:37: 30:19:6b:71:af:9e:0f:33:df:5e:28:26:59:a7:1f: 98:6a:21:4a:b5:6b:56:bd:59:2d:dd:19:e4:cf:37: 43:87:9b:86:b0:66:69:e7:31:18:4f:03:27:79:70: d2:6c:ec:a1:72:17:8c:da:03:91:e9:8d:7e:30:29: 23:73:90:aa:a8:4e:7f:91:14:f0:10:14:cf:38:ca: 33:61:c8:64:6a:6b:dc:0c:21:82:96:1a:52:f8:c7: f0:4a:6c:32:0b:7f:29:3e:0e:94:cf:35:a6:c3:88: 48:77 Exponent: 65537 (0x10001) ■csrファイル Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c4:83:6e:a9:20:85:d5:e1:b4:0c:79:41:7b:3f: 28:fb:87:01:aa:55:c8:4f:cb:41:98:86:6f:3d:5e: d2:4b:c3:83:1b:db:81:63:a8:73:48:99:fa:12:1c: 28:a5:0b:f4:7c:46:0a:58:22:03:d5:4a:8d:ef:52: ab:66:92:75:60:90:18:ea:4d:41:74:35:b7:de:4a: 87:f3:9f:56:0d:2d:15:be:c7:0d:4c:68:0c:49:ca: 3d:ba:cd:92:e0:63:6a:af:2a:32:b8:8a:78:f8:9f: 9f:a1:80:8d:ce:9b:c9:87:09:74:7b:b4:4b:6e:9f: 14:d1:c7:9b:c5:bb:3d:58:c5:68:65:0f:15:54:7a: b5:e7:ae:df:81:4e:b0:f5:50:ec:f7:f4:98:80:ec: 08:18:ab:16:fe:81:08:39:67:74:60:56:f2:a8:53: 77:9f:31:f9:c8:86:b1:a0:b9:4a:54:62:25:f7:e6: e0:d7:84:ce:c8:38:ca:7f:01:ee:30:45:77:29:8c: ea:c2:e4:b1:c9:01:50:c1:87:0e:2d:0f:47:58:40: b0:42:51:23:77:92:20:f3:e8:9b:98:8b:17:86:ac: 7c:11:c3:48:a0:cf:46:47:8f:24:7b:30:ef:da:22: 06:1b:97:5f:4a:b1:bd:37:08:8a:24:56:01:bc:c8: ed:63 Exponent: 65537 (0x10001)
CHERRY

2018/03/06 05:05

server.key を利用して、server.csr を作って、その csr を元に crt が、作られるので、一致しない場合は、どれかのファイルが間違っていることになります。 よく間違えるのが、crt ファイルに 中間証明書だけを書き込むことだったりしますが、大丈夫でしょうか?
ebsffzal

2018/03/06 05:17

上記、ありがとうございます。一旦、作業手順メモを確認いたします。 先ほど、参考URLが違っていたので、変更しました。 下記URLのとおりにkeyファイル、csrファイル、crtファイルを作成いたしました。 ■参考にさせていただいたURL https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2
ebsffzal

2018/03/06 05:21 編集

また、一旦、keyファイルをバックアップを取った上、 openssl rsa -in /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.key/server.key パスフレーズを指定しないファイルを作成し、service httpd restartを行ったところ、状況が変わりました。 [root@ ssl.key]# systemctl status httpd.service ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) Active: active (running) since 火 2018-03-06 14:14:31 JST; 51s ago Docs: man:httpd(8) man:apachectl(8) Process: 1743 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE) Main PID: 1771 (httpd) Status: "Total requests: 3; Current requests/sec: 0; Current traffic: 0 B/sec" CGroup: /system.slice/httpd.service ├─1771 /usr/sbin/httpd -DFOREGROUND ├─1772 /usr/sbin/httpd -DFOREGROUND ├─1773 /usr/sbin/httpd -DFOREGROUND ├─1774 /usr/sbin/httpd -DFOREGROUND ├─1775 /usr/sbin/httpd -DFOREGROUND ├─1776 /usr/sbin/httpd -DFOREGROUND └─1777 /usr/sbin/httpd -DFOREGROUND 3月 06 14:14:30 vs.sakura.ne.jp systemd[1]: Starting The Apache HTTP Server... 3月 06 14:14:31 vs.sakura.ne.jp systemd[1]: Started The Apache HTTP Server. 結果が「active(running)」となりましたが、相変わらずブラウザからはhttpsアクセスができませんでした。 ただ、httpアクセスはできるようになりました。
ebsffzal

2018/03/06 05:20

その後、/var/log/httpd/error_logを確認すると、以下のログが出力されていることを確認いたしました。 [Tue Mar 06 14:19:10.491244 2018] [mpm_prefork:notice] [pid 1771] AH00170: caught SIGWINCH, shutting down gracefully [Tue Mar 06 14:19:11.607342 2018] [suexec:notice] [pid 1803] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Tue Mar 06 14:19:11.646856 2018] [auth_digest:notice] [pid 1803] AH01757: generating secret for digest authentication ... [Tue Mar 06 14:19:11.647824 2018] [lbmethod_heartbeat:notice] [pid 1803] AH02282: No slotmem from mod_heartmonitor [Tue Mar 06 14:19:11.698328 2018] [mpm_prefork:notice] [pid 1803] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.6.33 configured -- resuming normal operations [Tue Mar 06 14:19:11.698393 2018] [core:notice] [pid 1803] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND' おそらくですが、パスフレーズによる問題とは別な原因だと思いますので、調査中です。
ebsffzal

2018/03/06 06:30

記録の為、自己返信します。 その後の調べで、上記のメッセージは全て「notice」なので、apacheそのものは起動しているようです。 そもそも443ポートが開放されているか怪しくなってきたので、 一旦サーバのポート部分を調べています。
ebsffzal

2018/03/06 06:57

記録の為、自己返信です。 ポートの確認と設定を行い、以下のコマンドでポートを開放すると、無事にブラウザからhttpsアクセスが可能になりました。 アクセスの際、ブラウザの接続マークも安全マークが出ることを確認いたしました。 firewall-cmd --permanent --add-service=https おおむね目立った問題はなくなりましたが、気になるのはservice httpd restartした時のnoticeは出続けるので、最終的にはnoticeも表示されないように調整を行なう予定です。
ebsffzal

2018/03/06 06:59 編集

メモです。 vhost.confの「Mutex default ssl-cache」はコメントアウト済み。
guest

0

必要なモジュールのインストールはしましたでしょうか?

参考にしたURLから、下記拝見していないとお見受けしましたので、こちらご確認ください。
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2

投稿2018/03/06 03:00

kszk311

総合スコア3404

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ebsffzal

2018/03/06 03:07

回答ありがとうございます。 はい。必要なモジュールはインストールいたしました。 root権限の状態で yum install mod_ssl yum install openssl と行いました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問