質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.60%

Let's Encryptの導入してもアクセス出来ないので解決方法を教えていただけないでしょうか?

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,168

score 162

参考サイト 「Apache httpd 2.4 を CentOS 7 に yum でインストールする手順」

さくらのVPSでOSを再インストールしたのですが、Let's Encryptを導入してもアクセスができなくて困っております。
導入手順は次のようにしました。
さくらのVPS (CentOS7)
Apacheのバージョンは Server version: Apache/2.4.6 (CentOS) です。

# yum install mod_ssl
# yum install certbot python2-certbot-apache
#ファイアウォールの設定
# firewall-cmd --add-service=https --zone=public --permanent
# systemctl restart firewalld
$ sudo yum install epel-release
$ sudo yumm update
# certbot certonly --webroot -w /var/www/html -d www.panda.com
# systemctl restart httpd


この接続ではプライバシーが保護されません」
「xxx.xxx.xxx では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。」 net::ERR_CERT_AUTHORITY_INVALID
となります。

作成されたサーバー証明祖は以下のようになっています。

# ls -l /etc/letsencrypt/live/www.panda.com/
total 4
-rw-r--r-- 1 root root 692 Mar 30 10:09 README
lrwxrwxrwx 1 root root  43 Mar 30 10:09 cert.pem -> ../../archive/www.panda.com/cert1.pem
lrwxrwxrwx 1 root root  44 Mar 30 10:09 chain.pem -> ../../archive/www.panda.com/chain1.pem
lrwxrwxrwx 1 root root  48 Mar 30 10:09 fullchain.pem -> ../../archive/www.panda.com/fullchain1.pem
lrwxrwxrwx 1 root root  46 Mar 30 10:09 privkey.pem -> ../../archive/www.panda.com/privkey1.pem

Apache 2.4 への設定は以下になります。

Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin

<VirtualHost _default_:443>

ServerName www.panda.com:443
ServerAdmin panda@gmail.com

ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn

SSLEngine on

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA

SSLCertificateFile /etc/letsencrypt/live/www.panda.com/cert.pem

SSLCertificateKeyFile /etc/letsencrypt/live/www.panda.com/privkey.pem

SSLCertificateChainFile /etc/letsencrypt/live/www.panda.com/chain.pem

<Files ~ "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>

BrowserMatch "MSIE [2-5]" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>
# service httpd configtest  でsyntax ok でした。
# systemctl restert httpd でApacheを再起動して


https://www.panda.com でアクセスしても接続出来ないのですが、原因と対策方法がわからないのでどなたかご教示お願いします。

デベロッパーツールに表示されるエラーを追記しました。

This page is not secure (broken HTTPS).

Certificate - Subject Alternative Name missing
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
View certificate

Certificate - missing
This site is missing a valid, trusted certificate (net::ERR_CERT_AUTHORITY_INVALID).
View certificate

Connection - secure connection settings
The connection to this site is encrypted and authenticated using TLS 1.2, ECDHE_RSA, and AES_128_GCM.

Resources - all served securely
All resources on this page are served securely.


追記 上の「View certificate」をクリックすると以下の表示が出ました。

このCAルート証明書は信頼されていません。信頼を有効にするにはこの証明書を信頼されたルート証明書機関のストアにインストールしてください。


なにをすればいいのか教えていただけないでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • 退会済みユーザー

    退会済みユーザー

    2019/03/31 14:43

    DNSの登録をしていないのでは?
    www.panda.com にアクセスしたら、「サーバーが見つかりません」となるため

    キャンセル

  • koume

    2019/03/31 14:49

    回答ありがとうございます。DNSの登録は完了しているのでhttp://www.panda.comでは表示出来ています。

    キャンセル

  • 退会済みユーザー

    退会済みユーザー

    2019/03/31 15:01

    letsencrypt のインストを半自動でできるcertbotは試しましたか?

    キャンセル

  • koume

    2019/03/31 15:04

    いいえ、そのようなことはしておりません。質問に記載したことしかしておりません。
    というか、恥ずかしながらやりかたがわかりません。

    キャンセル

回答 2

+1

このCAルート証明書は信頼されていません。信頼を有効にするにはこの証明書を信頼されたルート証明書機関のストアにインストールしてください。

中間証明書をインストールしていないために表示されるエラーです。

certbotを使ってLet'sencryptのインストールをするのか間違いがなく簡単です。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/03/31 19:25

    > certbot certonly --webroot -w /var/www/html -d www.panda.com
    cerbot は使ってるみたいですけど、使えてないっぽいですね^^;

    キャンセル

checkベストアンサー

0

(前提...)
Apache の詳細バージョンが不明ですが、Apache 2.4.8 から SSLCertificateChainFile が廃止されて証明書ファイルの指定方法が変わっていますので、 SSLCertificateFile で、中間証明書を含めたファイルを指定する必要があります。

SSLCertificateFile Directive 参照。


certbot certonly --webroot -w /var/www/html -d www.panda.com

certbot を使っていて、取得時にエラーメッセージは出ないで成功しているのに

このCAルート証明書は信頼されていません。信頼を有効にするにはこの証明書を信頼されたルート証明書機関のストアにインストールしてください。

が出るという状況であれば、Apache 2.4.8 以降ということはないでしょうか?

その場合は、SSLCertificateFile の設定を 

SSLCertificateFile /etc/letsencrypt/live/www.panda.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.panda.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/www.panda.com/chain.pem

ではなく、

SSLCertificateFile /etc/letsencrypt/live/www.example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.example.com/privkey.pem

のように中間証明書が含まれた fullchain.pem を使うように設定する必要があります。
このように設定を変更してApache を再起動すると状況は変わりますか?

あと、panda.com は取得者がいるドメインですので、ご自身が所有されていない場合は、例示用ドメイン名の example.com や example.jp を使ってください。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/04/02 00:35

    詳しい回答ありがとうございます。ドメイン名は適当につけていました。今後気をつけます。
    設定が、ぐちゃぐちゃになってしまっているようなので、VPSにOSを再インストールして
    最初からやり直してみます。
    ご教示いただいたことを参考にして設定してみます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.60%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る