投稿日:2005年03月22日 作成鷹の巣

No.18608 SSL対応のサイトだけ、LAN内から見えない。



SSL対応のサイトだけ、LAN内から見えない。

No.18608 投稿時間:2005年03月22日(Tue) 19:42 投稿者名:kunkun URL:

はじめまして、kunkun@初心者です。
この中で、検索してみつかったLAN内のクライアントがSSLサイトにアクセスできない件について、質問したいのですが・・・
Linuxだと、iptablesというものでポートの開放とかを行うみたいなことを調べて知ったのですが、windowsで構築した場合、どのようにすれば良いのでしょうか?どなたか、教えてください。自分のPC(xp sp2)にapacheをインストールして、sslまでちゃんとできました。自分のPC上では、難なく動くのですが、他の作業メンバーのPCからだとアクセスできません。ちなみに、windowsのファイアーウォールも無効にしてあります。その他、ファイアーウォールソフトは入っていません。何が原因なのか、全然検討もつきません。困ってます。何から調べていいのかも全然わからないです。

どうか、よろしくお願いいたします。


telnet IPアドレス 443でアクセスして応答があればOK。

No.18609 投稿時間:2005年03月22日(Tue) 20:55 投稿者名:ほげ URL:

Linuxから[ nmap IP ]でポートスキャンできます。
または、Windowsのコマンドプロンプトから[ telnet IP 443 ]でアクセスで応答あればOK。(何も表示されません。

注意:nmapは外部のサーバに対しては行わないでください。


接続されて何も表示されない状態でした。

No.18614 投稿時間:2005年03月23日(Wed) 10:22 投稿者名:kunkun URL:

> Linuxから[ nmap IP ]でポートスキャンできます。
> または、Windowsのコマンドプロンプトから[ telnet IP 443 ]でアクセスで応答あればOK。(何も表示されません。
>
> 注意:nmapは外部のサーバに対しては行わないでください。

早速の回答、本当にありがとうございます。助かります。

コマンドプロンプトでアクセスしたら、接続されて何も表示されない状態でした。
開放されているということでしょうか?
他作業者のPCで、SSLのページに入ろうとするときに、いつものダイアログまでは出るのです。
それでOKボタンを押すと、ページエラーになってしまします。
ちなみに、他のユーザでもネットスケープで見る人は、エラーNo.12227が出てしまって、ページが見れない状況です。

他に原因があるのか調べている最中です、何かまた良いアドバイスがあれば、教えてください。


エラーログを見たら何が悪いのかわかるかと。

No.18616 投稿時間:2005年03月23日(Wed) 10:34 投稿者名:ほげ URL:

> コマンドプロンプトでアクセスしたら、接続されて何も表示されない状態でした。
> 開放されているということでしょうか?
> 他作業者のPCで、SSLのページに入ろうとするときに、いつものダイアログまでは出るのです。
> それでOKボタンを押すと、ページエラーになってしまします。
> ちなみに、他のユーザでもネットスケープで見る人は、エラーNo.12227が出てしまって、ページが見れない状況です。
>
> 他に原因があるのか調べている最中です、何かまた良いアドバイスがあれば、教えてください。

ブラウザーからのアクセス時に、ダイアログが出ればSSLは動作しています。
多分セキリティーの警告というダイアログが出ているかと思います。

エラーログを見たら何が悪いのかわかるかと。


大事な情報はさきに出せば答えが出やすい。

No.18617 投稿時間:2005年03月23日(Wed) 11:09 投稿者名:松元 URL:

> ちなみに、他のユーザでもネットスケープで見る人は、エラーNo.12227が出てしまって、ページが見れない状況です。
>

なんでこんな大事な情報を後出しするのか不思議だが検索すればすぐ出てくる

http://itinfo.mit.edu/answer?id=1105

You do not have MIT certificates installed
直訳すると「証明書をインストールしなさい」

証明書を作ってない。または
conf(httpd.conf か ssl.conf) で書かれた位置にないのではなかな。


サーバーキーもすべて指定したフォルダ内に存在しています。

No.18618 投稿時間:2005年03月23日(Wed) 11:40 投稿者名:kunkun URL:

> なんでこんな大事な情報を後出しするのか不思議だが検索すればすぐ出てくる
> http://itinfo.mit.edu/answer?id=1105
>
> You do not have MIT certificates installed
> 直訳すると「証明書をインストールしなさい」
>
> 証明書を作ってない。または
> conf(httpd.conf か ssl.conf) で書かれた位置にないのではなかな。

返信、ありがとうございます、kunkunです。

httpd.confは、SSLモジュールについてしか定義していません。
ssl.confについては、パスに存在するかどうかというチェックはしました。
サーバーキーもすべて指定したフォルダ内に存在しています。

定義された位置に無いもので、自分の環境のみでは動いてしまうものなのでしょうか?


証明書を作りなおして見てください。

No.18619 投稿時間:2005年03月23日(Wed) 18:59 投稿者名:松元 URL:

> 返信、ありがとうございます、kunkunです。
>
> httpd.confは、SSLモジュールについてしか定義していません。
> ssl.confについては、パスに存在するかどうかというチェックはしました。
> サーバーキーもすべて指定したフォルダ内に存在しています。
>
> 定義された位置に無いもので、自分の環境のみでは動いてしまうものなのでしょうか?

そうでした。ない或いは使えないものならエラーでデーモンが立ちあがりません
自分だけ大丈夫。他人はNG。で検索したところ
http://www.aconus.com/~oyaji/www/apache_win_ssl.htm
の上の方に
その証明書を持ったクライアント以外からのアクセスを制限することができます
とあります。これを行ってしまった可能性があります

http://www.aconus.com/~oyaji/www/certs_win.htm
に何か書いてあります。

Windowsは一発で動かないと難しいです。


サーバー認証とクライアント認証の違い。

No.18620 投稿時間:2005年03月23日(Wed) 21:07 投稿者名:聞疑始 URL:http://homeserver-streaming.com/Trouble/SSL/

>その証明書を持ったクライアント以外からのアクセスを制限することができます
> とあります。これを行ってしまった可能性があります
その可能性大ですね。
http://www.aconus.com/~oyaji/www/apache_win_ssl.htm
私は↑に書かれているサーバー認証とクライアント認証の違いがわからず、
おまけに、「クライアント用証明書の失効処理」までしてしまってボロボロ。゚(T^T)゚。
これで一日は潰しましたね。

クライアント用証明書の作成以下は、「・・・証明書を持ったクライアント以外からのアクセスを制限する・・・(特別にセキュリティを確保するとき以外は不要)」ということがやっとわかったという始末記も書いていますが、ひょっとして同じかも・・・参照先に書いています。

サーバー認証とクライアント認証はアクセスしたときの「いつものダイアログ」と書かれているものが違ったと記憶していますが・・・ご確認ください。


できましたぁ!

No.18622 投稿時間:2005年03月24日(Thu) 16:03 投稿者名:kunkun URL:

kunkunです。

証明書を作りなおす前に、ssl.confのクライアント設定されている部分を全部コメントにしてみました。
それで、apacheをrestartさせて動かしたら、できました。他のパソコンからもhttpsでページが表示されたみたいです。

色々と相談に乗っていただき、ありがとうございました。すごく、助かりました。
私もいつか、こんな風に役に立てるようになりたいです。なので勉強します!

また、何か困ったことがあったら、助けてください。よろしくお願いいたします。


これ以上犠牲者を出さないためにも少し修正しておきました。

No.18628 投稿時間:2005年03月25日(Fri) 23:33 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

二人もおやじのコンテンツで犠牲者が出てしまったということは、書き方がまずいのですよね。
なんとなくですが、「認証局で署名されたクライアント用証明書を持たない端末(ブラウザ)からのアクセス制限をするためのものなので、特別にセキュリティを確保するとき以外は不要です。」という表現が曖昧なので、イメージとしてうまく伝わっていないのだと思い、これ以上犠牲者を出さないためにも少し修正しておきました。


いい勉強になりました。

No.18630 投稿時間:2005年03月26日(Sat) 23:15 投稿者名:聞疑始 URL:http://homeserver-streaming.com/Trouble/Access_analysis/

> 二人もおやじのコンテンツで犠牲者が出てしまったということは、書き方がまずいのですよね。
いえいえ、所詮は読む側の責任です。

試行錯誤するのはいい勉強になりました。

> ・・・これ以上犠牲者を出さないためにも少し修正しておきました。
ご面倒おかけしました(゚゚)(。。)ペコッ

今後とも拙いユーザーですがよろしくお願いします。


もう一度、最初から必要な部分の作業としてやり直してみます。

No.18621 投稿時間:2005年03月24日(Thu) 14:42 投稿者名:kunkun URL:

松元さん、聞疑始さん、本当にありがとうございます。kunkunです。
返信が遅れてすみませんでした。

> そうでした。ない或いは使えないものならエラーでデーモンが立ちあがりません
> 自分だけ大丈夫。他人はNG。で検索したところ
> http://www.aconus.com/~oyaji/www/apache_win_ssl.htm
> の上の方に
> その証明書を持ったクライアント以外からのアクセスを制限することができます
> とあります。これを行ってしまった可能性があります
>
> http://www.aconus.com/~oyaji/www/certs_win.htm
> に何か書いてあります。
>
> Windowsは一発で動かないと難しいです。

言われたとおりの一通りの作業を全部行ってしまいました。
もう一度、最初から必要な部分の作業としてやり直してみます。
おそらく、お2人のおっしゃる通りかもしれません。

がんばってみます。本当にありがとうございます。
また、結果を報告します。


通常のhttp://でアクセスできるなら、ssl.confが臭いですね。

No.18612 投稿時間:2005年03月22日(Tue) 22:54 投稿者名:聞疑始 URL:http://homeserver-streaming.com/Trouble/SSL/

> 自分のPC上では、難なく動くのですが、他の作業メンバーのPCからだとアクセスできません。ちなみに、windowsのファイアーウォールも無効にしてあります。

私は、LAN内クライアントから難なくアクセスできました。
(サーバー機のwindowsのファイアーウォールは無効、ZoneAlarmを使用)
外からは、ルータのアドレス変換が必要でしたが・・・

通常のhttp://でアクセスできるなら、ssl.confが臭いですね。
特にServerName new.host.name:443関係かも・・・
443はどこへ行けばいいの?と迷子になっているのかも・・・

ちなみに、↓が私の教科書です。
http://www.aconus.com/~oyaji/www/apache_win_ssl.htm


もう少し詳しく教えてください。

No.18615 投稿時間:2005年03月23日(Wed) 10:32 投稿者名:kunkun URL:

本当に、ありがとうございます。助かります。kunkunです。

> 私は、LAN内クライアントから難なくアクセスできました。
> (サーバー機のwindowsのファイアーウォールは無効、ZoneAlarmを使用)
> 外からは、ルータのアドレス変換が必要でしたが・・・

外からというのは、特に今のところ考えていません。
なので、LAN内のみでの環境で今は行う予定でいます。

> 通常のhttp://でアクセスできるなら、ssl.confが臭いですね。
> 特にServerName new.host.name:443関係かも・・・
> 443はどこへ行けばいいの?と迷子になっているのかも・・・

すみません、無知で・・・
もう少し詳しく教えてください。それが原因なのかもしれませんね!
設定自体は、このファイル内では443という記述をしています。
他に何かあるのでしょうか?

> ちなみに、↓が私の教科書です。
> http://www.aconus.com/~oyaji/www/apache_win_ssl.htm

実は・・・このページを見ながら設定したんです(汗)
自分の環境では、難なく見えたので、成功したのかと思ったのですが、
作業者の環境からは、見えなかったという失敗です。
自分の作業の見直しをしている時間があまりないので、すごくあせっています。


目次掲示板過去ログ目次▲頁先頭