質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.55%

dockerローカル環境にて、mkcertで作ったワイルドカード証明書がchromeに怒られる

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 605

Diwamoto

score 53

前提・実現したいこと

dockerでphp+apache+mysql+mailhogなローカル環境を作り動かしていて、virtualhostで複数サイトを同時に起動できるようにしています。
ふとローカル環境をssl化したいと思い、mkcertでワイルドカード証明書を作り動かしたところどうしてもchromeに怒られてしまいます。
apacheの設定はデフォルトの設定をコピーし、crtとkeyファイルのパスを自分で作ってコンテナにコピーした証明書で作っています。

発生している問題・エラーメッセージ

特定のドメインのみ(aaa.localhost)だとうまくいくが、*.localhostで証明書を作るとcommonnameerrorが発生する

該当のソースコード

mkcert "*.localhost"


したものをserver.crtとserver.keyにリネームして使っています

試したこと

ネットで「openssl chromeに怒られない ワイルドカード」等で検索し、出てきたものを使って実行したりしてみた
特定ドメインだと動くので、apacheの設定はおかしくないと思う
せっかくmampからdockerに乗り換え、vhostの設定をいちいち書かなくていいようにしたのに、sslのためにまた一つ一つ書くのが面倒

補足情報(FW/ツールのバージョンなど)

apacheのsslの設定です。default-ssl.confをコピーしてキーのディレクトリとvhostを設定してます。

<IfModule mod_ssl.c>
    <VirtualHost *:443>

        DocumentRoot /var/www/html

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.
        LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on


        SSLCertificateFile    /etc/apache2/ssl/keys/server.pem
        SSLCertificateKeyFile /etc/apache2/ssl/keys/server-key.pem

        #   Server Certificate Chain:
        #   Point SSLCertificateChainFile at a file containing the
        #   concatenation of PEM encoded CA certificates which form the
        #   certificate chain for the server certificate. Alternatively
        #   the referenced file can be the same as SSLCertificateFile
        #   when the CA certificates are directly appended to the server
        #   certificate for convinience.
        #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

        #   Certificate Authority (CA):
        #   Set the CA certificate verification path where to find CA
        #   certificates for client authentication or alternatively one
        #   huge file containing all of them (file must be PEM encoded)
        #   Note: Inside SSLCACertificatePath you need hash symlinks
        #         to point to the certificate files. Use the provided
        #         Makefile to update the hash symlinks after changes.
        #SSLCACertificatePath /etc/ssl/certs/
        #SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt

        #   Certificate Revocation Lists (CRL):
        #   Set the CA revocation path where to find CA CRLs for client
        #   authentication or alternatively one huge file containing all
        #   of them (file must be PEM encoded)
        #   Note: Inside SSLCARevocationPath you need hash symlinks
        #         to point to the certificate files. Use the provided
        #         Makefile to update the hash symlinks after changes.
        #SSLCARevocationPath /etc/apache2/ssl.crl/
        #SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl

        #   Client Authentication (Type):
        #   Client certificate verification type and depth.  Types are
        #   none, optional, require and optional_no_ca.  Depth is a
        #   number which specifies how deeply to verify the certificate
        #   issuer chain before deciding the certificate is not valid.
        #SSLVerifyClient require
        #SSLVerifyDepth  10


        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>


        ServerName localhost
        ServerAlias *.localhost
        VirtualDocumentRoot "/var/www/html/%1"
        <Directory "/var/www/html">
            AllowOverride All
        </Directory>

    </VirtualHost>
</IfModule>

こちらの環境を使っています(ステマじゃないよ)
https://github.com/Diwamoto/docker-lamp

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+1

mkcertではなく、ブラウザ側が要因です。

GitHubのissue(https://github.com/FiloSottile/mkcert/issues/30)にもありますが、
多くのブラウザは、ドメイン名のセカンドレベルでのワイルドカードははじくようです。
(*.comとかの怪しいワイルドカード証明書を排除するためっぽい)

ちなみに、私の手元のmkcertでは、'*.localhost'で証明書を作成すると
Warning: many browsers don't support second-level wildcards like "*.localhost"
と表示されました。(証明書は作成されます)

ワイルドカードを3レベル目(*.local.localhostとか)にすれば良さそうです。
それが許せない場合は、mkcert aaa.localhost bbb.localhost ccc.localhost ...とvirtualhostを列挙するしかないのかな。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/10/24 16:06 編集

    セカンドレベルというのは
    `'*.localhost'` で証明書を作成した時に、`a.b.localhost`は受け付けませんよ、ということですよね?
    私の環境では*.localhostで証明書を作成しているのにも関わらず、aaa.localhostでCOMMON_NAME_ERRORが発生するんですよね。。。
    一応apacheの設定も貼っておきます。

    キャンセル

  • 2019/10/24 17:05

    > セカンドレベルというのは
    > `'*.localhost'` で証明書を作成した時に、`a.b.localhost`は受け付けませんよ、ということですよね?

    ここでのセカンドレベルというのはaaa.localhostのaaaのように、後ろから2番目のところのことです。
    *.localhostとか、*.comとか、*.netとか、*.jpとか、セカンドレベルがワイルドカードになっている証明書は(多くの)ブラウザがサポートしていません。
    例えば間違って*.comの証明書が作られたとしたら、これでgoogle.comもamazon.comも証明できてしまうことになります。そういうことがないように無効と判断する仕様になっているようです。

    キャンセル

  • 2019/10/25 23:27

    回答ありがとうございます。
    試しに*.aaa.localhostで証明書を作成してみたところ正常に動きました。
    *.localhostについてはスクリプトを組んで自動で追加されるような仕組みにしたいと思います。
    やりたかった事ができたわけではありませんが、モヤモヤは晴れたのでスッキリしました!
    ご尽力ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.55%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる