質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • SSL

    594questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • さくらのクラウド

    68questions

さくらVPSサーバに対し、ラピッドSSLの設定をしてもエラーになる件

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 611

ebsffzal

score 58

識者の皆様へ件名について質問させていただきます。

さくらVPSにラピッドSSLを導入しようとし、以下のようなエラーが
取り除くことができない状況です。

対応した内容をまとめますので、お力をお貸しいただきたいです。
(かれこれ1日以上ハマってしまいました・・・)

■環境
さくらVPS(CentOS7)
お名前comで取得したドメイン
ラピッドSSL

■対応した内容
①さくらVPSでCentOS7をインストールして、LAMP環境を構築
②お名前comで取得したドメインを設定
③「http」アクセス時は問題なくシステムが見える(使える)ことを確認
④ラピッドSSLにて契約、各種サーバ証明書を設定
⑤設定後、「http」「https」両方ともアクセス不能
⑥設定ファイルの記載方法設置場所等を見直し、試行錯誤をしています

■参考にさせていただいたURL
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2

■発生しているエラー
「service httpd restart」を入力すると、apacheが起動しないので、
「systemctl status httpd.service」と入力した結果、以下のようなエラーになることを確認しました。

(サーバ名とドメイン部分は便宜上xxxxxxxxxにしています)

● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since 火 2018-03-06 11:30:52 JST; 2min 28s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 2276 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
  Process: 2274 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
 Main PID: 2274 (code=exited, status=1/FAILURE)

 306 11:30:52 vs.sakura.ne.jp httpd[2274]: In order to read them you have to provide the pass phrases.
 306 11:30:52 vs.sakura.ne.jp httpd[2274]: Server xxxxxxxxx.net:443 (RSA)
 306 11:30:52 vs.sakura.ne.jp httpd[2274]: Enter pass phrase:Apache:mod_ssl:Error: Private key not found.
 306 11:30:52 vs.sakura.ne.jp httpd[2274]: **Stopped
 306 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE
 306 11:30:52 vs.sakura.ne.jp kill[2276]: kill: cannot find process ""
 306 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service: control process exited, code=exited status=1
 306 11:30:52 vs.sakura.ne.jp systemd[1]: Failed to start The Apache HTTP Server.
 306 11:30:52 vs.sakura.ne.jp systemd[1]: Unit httpd.service entered failed state.
 306 11:30:52 vs.sakura.ne.jp systemd[1]: httpd.service failed.

■備考
・サーバ側のSSL設定手順については、バーチャルホストを使用
「xxxxxxxxx.net」にアクセスすると、「/var/www/html/xxxxxxxxx/」が見えることを想定しています。

・apacheのバージョンは2.4.6

・各設定ファイルのおき場所は以下のようにしました。

ssl関係のファイル

/etc/httpd/conf/ssl.crt/internal.crt
/etc/httpd/conf/ssl.crt/server.crt
/etc/httpd/conf/ssl.key/server.key

設定ファイル

/etc/httpd/conf.d/vhost.conf
/etc/httpd/conf.d/ssl.conf

・ssl.confは、色々試行錯誤したところ、現在は全てコメントアウトしています。

・vhost.confは以下のように記載しました。
(色々と設定項目や値を調整していたので、漏れや抜けがあるかもしれませんが、現在の最終系です)

<VirtualHost *:80>
    DocumentRoot /var/www/html
    # ServerName
</VirtualHost>

# setting for ssl
LoadModule ssl_module modules/mod_ssl.so
Listen 443
#NameVirtualHost *:443

SSLPassPhraseDialog     builtin
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
#SSLMutex  default
Mutex default ssl-cache
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin

# setting for caratinc.jp domain
<VirtualHost *:443>
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    SSLCertificateChainFile /etc/httpd/conf/ssl.crt/internal.crt
    SSLCertificateFile      /etc/httpd/conf/ssl.crt/server.crt
    SSLCertificateKeyFile   /etc/httpd/conf/ssl.key/server.key

    DocumentRoot /var/www/html/xxxxxxxxx
    ServerName xxxxxxxxx:443

    CustomLog logs/xxxxxxxxx.net_ssl.access_log common
    ErrorLog  logs/xxxxxxxxx.net_ssl.error_log

    AddDefaultCharset UTF-8
    <Directory "/var/www/html/xxxxxxxxx">
        AllowOverride All
        Options Indexes FollowSymLinks
    </Directory>
</VirtualHost>

以上になります。
エラー内容が明確に分かってはいるのですが、色々と試行錯誤しても解決に至っておりません。
何卒どうぞよろしくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • ebsffzal

    2018/03/06 12:26

    回答ありがとうございます!service httpd stop後にservice httpd startしても状況は同じでした。

    キャンセル

  • ebsffzal

    2018/03/06 12:27

    中間証明書については、以下のサイトの「1) 2017年11月30日(木) マネージドCA対応以降に発行された証明書:」の値を設定しました。

    キャンセル

  • キャンセル

回答 2

checkベストアンサー

0

/etc/httpd/conf/ssl.key/server.key 等のファイルが存在している前提ですが....

SSLのパスフレーズ(Pass Phrase Dialog)入力を省略してApacheを起動する の「2.パスフレーズ応答スクリプトを設定する」の設定をしたら、起動しないでしょうか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/03/06 13:02

    回答ありがとうございます!

    上記のURLを参考にパスフレーズが無いkeyファイルを作り、httpdを起動してみました。

    パっと見、エラー表示は消えたようですが、サーバへのアクセスはできませんでした。

    起動時(systemctl status httpd.service)の結果は、以下のようになりました。

    ● httpd.service - The Apache HTTP Server
    Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
    Active: failed (Result: exit-code) since 火 2018-03-06 13:00:49 JST; 9s ago
    Docs: man:httpd(8)
    man:apachectl(8)
    Process: 2624 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
    Process: 2622 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
    Main PID: 2622 (code=exited, status=1/FAILURE)

    3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Starting The Apache HTTP Server...
    3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE
    3月 06 13:00:49 vs.sakura.ne.jp kill[2624]: kill: cannot find process ""
    3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service: control process exited, code=exited status=1
    3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Failed to start The Apache HTTP Server.
    3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: Unit httpd.service entered failed state.
    3月 06 13:00:49 vs.sakura.ne.jp systemd[1]: httpd.service failed.

    キャンセル

  • 2018/03/06 13:05

    もしかすると、参考URLの中の「パスワード自動応答スクリプトを設置する」というシェルは必須でしょうか?

    現状、このシェルは設定しておらず、keyファイルのみ新しく作成している状態です。

    キャンセル

  • 2018/03/06 13:20

    パスワードなしの鍵を使う場合は不要です。

    キャンセル

  • 2018/03/06 13:21

    error_log にエラーメッセージは出てないでしょうか?

    キャンセル

  • 2018/03/06 13:29

    なるほどです。
    せめて原因の切り分けをしたいところですが、サーバ側の知識不足で苦戦中です。。。

    キャンセル

  • 2018/03/06 13:31

    /var/log/error_logを確認したところ

    [Tue Mar 06 13:30:06.053224 2018] [suexec:notice] [pid 1598] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
    [Tue Mar 06 13:30:06.054507 2018] [ssl:emerg] [pid 1598] AH02311: Fatal error initialising mod_ssl, exiting. See /etc/httpd/logs/xxxxxxxxxxxxxxx_ssl.error_log for more information

    のようになっていました。
    xxxxxxのところは便宜上書き換えています。

    mod_sslの記述がNGでしょうか。。

    キャンセル

  • 2018/03/06 13:32

    また、/etc/httpd/logs/xxxxxxxxxxxxxxx_ssl.error_logを見ると

    [Tue Mar 06 13:30:06.054462 2018] [ssl:emerg] [pid 1598] AH02238: Unable to configure RSA server private key
    [Tue Mar 06 13:30:06.054500 2018] [ssl:emerg] [pid 1598] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

    のような記述でした。
    このあたりが原因でしょうか!

    キャンセル

  • 2018/03/06 13:44

    https://www.dondari.com/SSL%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%A8%E3%83%A9%E3%83%BC

    このURLを参考に、CSRとSSL証明書のModules部分の比較を行ってみました。

    この値が一致していないとNGらしいですが、どこでどう違ってしまったのか。。。

    ■crtファイル
    Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
    Public-Key: (2048 bit)
    Modulus:
    00:de:9d:21:13:11:c4:56:e1:94:35:e3:4b:69:20:
    50:3a:e4:01:36:20:88:aa:29:4e:a9:50:4b:9b:ef:
    83:8d:d4:36:6d:93:bc:85:12:9d:88:95:6e:e7:e2:
    9b:43:8f:d8:46:62:3c:bd:d1:41:32:e8:2e:2b:3f:
    1c:f6:08:68:0f:24:ac:1e:fd:a6:2e:51:55:bd:a2:
    f2:21:cb:c3:ea:81:94:d6:64:43:fd:8c:b3:4a:3c:
    c7:ce:82:ff:b6:b2:4c:c1:3a:16:ad:15:e6:a1:1f:
    09:22:45:ae:4b:2f:40:70:17:00:59:d7:b6:b8:b7:
    33:af:9b:98:de:b6:1b:d5:15:33:79:ff:05:a5:85:
    9f:1e:0a:a7:44:a9:9d:26:a4:69:2e:f3:07:0c:37:
    30:19:6b:71:af:9e:0f:33:df:5e:28:26:59:a7:1f:
    98:6a:21:4a:b5:6b:56:bd:59:2d:dd:19:e4:cf:37:
    43:87:9b:86:b0:66:69:e7:31:18:4f:03:27:79:70:
    d2:6c:ec:a1:72:17:8c:da:03:91:e9:8d:7e:30:29:
    23:73:90:aa:a8:4e:7f:91:14:f0:10:14:cf:38:ca:
    33:61:c8:64:6a:6b:dc:0c:21:82:96:1a:52:f8:c7:
    f0:4a:6c:32:0b:7f:29:3e:0e:94:cf:35:a6:c3:88:
    48:77
    Exponent: 65537 (0x10001)

    ■csrファイル
    Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
    Public-Key: (2048 bit)
    Modulus:
    00:c4:83:6e:a9:20:85:d5:e1:b4:0c:79:41:7b:3f:
    28:fb:87:01:aa:55:c8:4f:cb:41:98:86:6f:3d:5e:
    d2:4b:c3:83:1b:db:81:63:a8:73:48:99:fa:12:1c:
    28:a5:0b:f4:7c:46:0a:58:22:03:d5:4a:8d:ef:52:
    ab:66:92:75:60:90:18:ea:4d:41:74:35:b7:de:4a:
    87:f3:9f:56:0d:2d:15:be:c7:0d:4c:68:0c:49:ca:
    3d:ba:cd:92:e0:63:6a:af:2a:32:b8:8a:78:f8:9f:
    9f:a1:80:8d:ce:9b:c9:87:09:74:7b:b4:4b:6e:9f:
    14:d1:c7:9b:c5:bb:3d:58:c5:68:65:0f:15:54:7a:
    b5:e7:ae:df:81:4e:b0:f5:50:ec:f7:f4:98:80:ec:
    08:18:ab:16:fe:81:08:39:67:74:60:56:f2:a8:53:
    77:9f:31:f9:c8:86:b1:a0:b9:4a:54:62:25:f7:e6:
    e0:d7:84:ce:c8:38:ca:7f:01:ee:30:45:77:29:8c:
    ea:c2:e4:b1:c9:01:50:c1:87:0e:2d:0f:47:58:40:
    b0:42:51:23:77:92:20:f3:e8:9b:98:8b:17:86:ac:
    7c:11:c3:48:a0:cf:46:47:8f:24:7b:30:ef:da:22:
    06:1b:97:5f:4a:b1:bd:37:08:8a:24:56:01:bc:c8:
    ed:63
    Exponent: 65537 (0x10001)

    キャンセル

  • 2018/03/06 14:05

    server.key を利用して、server.csr を作って、その csr を元に crt が、作られるので、一致しない場合は、どれかのファイルが間違っていることになります。

    よく間違えるのが、crt ファイルに 中間証明書だけを書き込むことだったりしますが、大丈夫でしょうか?

    キャンセル

  • 2018/03/06 14:17

    上記、ありがとうございます。一旦、作業手順メモを確認いたします。

    先ほど、参考URLが違っていたので、変更しました。
    下記URLのとおりにkeyファイル、csrファイル、crtファイルを作成いたしました。

    ■参考にさせていただいたURL
    https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2

    キャンセル

  • 2018/03/06 14:19 編集

    また、一旦、keyファイルをバックアップを取った上、

    openssl rsa -in /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.key/server.key

    パスフレーズを指定しないファイルを作成し、service httpd restartを行ったところ、状況が変わりました。

    [root@ ssl.key]# systemctl status httpd.service
    ● httpd.service - The Apache HTTP Server
    Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
    Active: active (running) since 火 2018-03-06 14:14:31 JST; 51s ago
    Docs: man:httpd(8)
    man:apachectl(8)
    Process: 1743 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
    Main PID: 1771 (httpd)
    Status: "Total requests: 3; Current requests/sec: 0; Current traffic: 0 B/sec"
    CGroup: /system.slice/httpd.service
    ├─1771 /usr/sbin/httpd -DFOREGROUND
    ├─1772 /usr/sbin/httpd -DFOREGROUND
    ├─1773 /usr/sbin/httpd -DFOREGROUND
    ├─1774 /usr/sbin/httpd -DFOREGROUND
    ├─1775 /usr/sbin/httpd -DFOREGROUND
    ├─1776 /usr/sbin/httpd -DFOREGROUND
    └─1777 /usr/sbin/httpd -DFOREGROUND

    3月 06 14:14:30 vs.sakura.ne.jp systemd[1]: Starting The Apache HTTP Server...
    3月 06 14:14:31 vs.sakura.ne.jp systemd[1]: Started The Apache HTTP Server.

    結果が「active(running)」となりましたが、相変わらずブラウザからはhttpsアクセスができませんでした。
    ただ、httpアクセスはできるようになりました。

    キャンセル

  • 2018/03/06 14:20

    その後、/var/log/httpd/error_logを確認すると、以下のログが出力されていることを確認いたしました。

    [Tue Mar 06 14:19:10.491244 2018] [mpm_prefork:notice] [pid 1771] AH00170: caught SIGWINCH, shutting down gracefully
    [Tue Mar 06 14:19:11.607342 2018] [suexec:notice] [pid 1803] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
    [Tue Mar 06 14:19:11.646856 2018] [auth_digest:notice] [pid 1803] AH01757: generating secret for digest authentication ...
    [Tue Mar 06 14:19:11.647824 2018] [lbmethod_heartbeat:notice] [pid 1803] AH02282: No slotmem from mod_heartmonitor
    [Tue Mar 06 14:19:11.698328 2018] [mpm_prefork:notice] [pid 1803] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.6.33 configured -- resuming normal operations
    [Tue Mar 06 14:19:11.698393 2018] [core:notice] [pid 1803] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'

    おそらくですが、パスフレーズによる問題とは別な原因だと思いますので、調査中です。

    キャンセル

  • 2018/03/06 15:30

    記録の為、自己返信します。

    その後の調べで、上記のメッセージは全て「notice」なので、apacheそのものは起動しているようです。

    そもそも443ポートが開放されているか怪しくなってきたので、
    一旦サーバのポート部分を調べています。

    キャンセル

  • 2018/03/06 15:57

    記録の為、自己返信です。

    ポートの確認と設定を行い、以下のコマンドでポートを開放すると、無事にブラウザからhttpsアクセスが可能になりました。
    アクセスの際、ブラウザの接続マークも安全マークが出ることを確認いたしました。

    firewall-cmd --permanent --add-service=https

    おおむね目立った問題はなくなりましたが、気になるのはservice httpd restartした時のnoticeは出続けるので、最終的にはnoticeも表示されないように調整を行なう予定です。

    キャンセル

  • 2018/03/06 15:59 編集

    メモです。

    vhost.confの「Mutex default ssl-cache」はコメントアウト済み。

    キャンセル

0

必要なモジュールのインストールはしましたでしょうか?

参考にしたURLから、下記拝見していないとお見受けしましたので、こちらご確認ください。
https://qiita.com/yoshizaki_kkgk/items/e6f39a5bfb99900b44b2

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/03/06 12:07

    回答ありがとうございます。
    はい。必要なモジュールはインストールいたしました。
    root権限の状態で
    yum install mod_ssl
    yum install openssl
    と行いました。

    キャンセル

同じタグがついた質問を見る

  • SSL

    594questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • さくらのクラウド

    68questions