apache mod_nss nss証明書について

apacheが動かなくなったとのことで調査してみたところ
error_logに下記の情報が出力されていました。

bash
1[Mon Nov 14 10:47:47 2016] [error] SSL Library Error: -8181 Certificate has expired
2[Mon Nov 14 10:47:47 2016] [error] Unable to verify certificate 'Server-Cert'. Add "NSSEnforceValidCerts off" to nss.conf so the server can start until the problem can be resolved.

ひとまずnss.confにNSSEnforceValidCerts offを追記し、apache再起動したところ
無事アクセスはできるようになりました。

ただ、

bash
1$ certutil -L -d /etc/httpd/alias -n Server-Cert
2 Validity:
3            Not Before: Mon Nov 12 06:31:23 2012
4            Not After : Sat Nov 12 06:31:23 2016

となっており期限が切れているようです。

お聞きしたいこと

今まで有効だったnssはNSSEnforceValidCerts offでオフにしてしまって問題はないのか

certutil -L -d /etc/httpd/alias -n Server-Certで表示された認証期限を延ばす必要はあるのか

サーバにはmod_nssとmod_sslが入っていて、ssl証明書は取得していますがhttpsが効かない状況です

mod_nssはmod_sslベースとしていて、OpenSSLコールの代わりにNSSコールを使用するらしいのですが
nssが必要なければ、mod_nssを無効にすればhttps接続はうまくいくようになるのでしょうか。

このページを見たのですが根本的な解決策はわからずなようで、、
http://qa.atmarkit.co.jp/q/8037

OSバージョン

$ cat /proc/version
Linux version 2.6.18-308.1.1.el5 (mockbuild@builder10.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-52)) #1 SMP Wed Mar 7 04:16:51 EST 2012

apache バージョン

bash
1$ yum info httpd  
2Loaded plugins: fastestmirror, security
3Loading mirror speeds from cached hostfile
4 * base: ftp.iij.ad.jp
5 * extras: ftp.iij.ad.jp
6 * updates: ftp.iij.ad.jp
7Installed Packages
8Name       : httpd
9Arch       : x86_64
10Version    : 2.2.22
11Release    : jason.1
12Size       : 9.1 M
13Repo       : installed
14Summary    : Apache HTTP Server
15URL        : http://httpd.apache.org/
16License    : ASL 2.0
17Description: The Apache HTTP Server is a powerful, efficient, and extensible
18           : web server.

行動規範の内容に同意します

回答1件

ベストアンサー

nssが必要なければ、mod_nssを無効にすればhttps接続はうまくいくようになるのでしょうか。

ブラウザから HTTPS (443番ポート)でアクセスしたときに、mod_ssl / mod_nss のどちらで処理する設定か確認ください。
/etc/httpd/conf.d/ 以下の ssl.conf, nss.conf で "Listen 443" となっている方が有効です。
もし、mod_ssl (ssl.conf) が 443番ポートを受け持っているのであれば、nss を無効にすれば起動できると思います。
ただし、ssl.conf で設定している証明書も nss と同じく期限切れになっているかもしれません。

今まで有効だったnssはNSSEnforceValidCerts offでオフにしてしまって問題はないのか

もし、mod_nss (nss.conf) が 443番ポートを受け持っているのであれば、NSSEnforceValidCerts off で起動できたとしても、ブラウザからアクセスしたときに「無効な証明書」とか「信頼できないサイト」のように判断されてしまいます。

certutil -L -d /etc/httpd/alias -n Server-Certで表示された認証期限を延ばす必要はあるのか

mod_nss を使っているのであれば、証明書を更新する必要があります。

投稿2016/11/14 04:22

TaichiYanagiya

総合スコア12193

smith_30

2016/11/14 04:50

ご回答ありがとうございます！現状のサーバーでは期限の切れていないssl証明書があるのでそちらを利用しようと考えています。その場合、nssは不要になるのでしょうか？もしくは、nssが必要な状況ってどんなケースなのでしょうか？元の管理者がいないのでわからなくて、、ひとまずベストアンサーにさせていただきます。ご存じであれば、↑の質問にも答えていただけると幸いです。

TaichiYanagiya

2016/11/14 05:09

> その場合、nssは不要になるのでしょうか？ 443番ポートを mod_ssl で待ち受けているのであれば、mod_nss は不要だと思います。でも、mod_nss をあえてインストールしているのであれば、443番ポートとは別の用途で利用している可能性があります。 mod_nss が待ち受けているポート(8443番など)を利用していないか、確認ください。 > もしくは、nssが必要な状況ってどんなケースなのでしょうか？ mod_ssl, mod_nss のどちらを使うのかは好みだと思います。推測ですが、CentOS 5.x の openssl のバージョンでは SNI が利用できないので、ポートを分けて HTTPSバーチャルホストを利用しているとか？

smith_30

2016/11/14 06:35

> 443番ポートを mod_ssl で待ち受けているのであれば、mod_nss は不要だと思います。待ち受けています。 > mod_nss が待ち受けているポート(8443番など)を利用していないか、確認ください。 conf.d/nss.confに↑の記述はありました。ただ、他の設定ファイルを見る限り、バーチャルホストでこのポートは利用していないので昔の管理者が設定をsslに変えた後に消し忘れたのでしょうかね。。 > 推測ですが、CentOS 5.x の openssl のバージョンでは SNI が利用できないので、ポートを分けて HTTPSバーチャルホストを利用しているとか？古いosを使っていた時の設定の名残なんですね、、勉強になりました。ご丁寧にありがとうございます。

行動規範の内容に同意します