ADC:SSL通信エラー発生時に確認すべき3点

SSLサーバ証明書をロードバランサにインストールして納品するSSL案件は、どれだけ案件の経験を重ねてもいつも苦労しています。納品前の事前検証で、クライアントPC端末から、SSL通信を行ってSSLエラーが出る場合(正常にSSL通信できない場合)の確認点を紹介します。

本記事は、以下のSSLサーバ証明書の技術解説を理解していることが前提の記事となります。

・ SSLサーバ証明書とは – Part1  ・ SSLサーバ証明書とは – Part2

SSL通信の確認 1:Common Nameでアクセスしていますか?

SSLサーバ証明書の「 Common Name 」で指定したFQDN通りに、Webブラウザで指定しているかどうかを確認しましょう。Common NameにIPアドレスではなく、FQDNを指定しているのに、試験PCから「 https://192.168.10.100 」等とIPアドレスを指定してはダメです。

SSLサーバ証明書のCommon Nameの情報が例えば「www.infraeye.com」である場合には検証環境でもあっても、Webブラウザで「https://www.infraeye.com」と指定してアクセスする必要があり、検証環境でも名前解決できるように試験PCのhostsファイルを編集します。

hostsファイルの編集方法は「 hostsファイルの編集方法 」をご参考頂ければと思います。

SSL通信の確認 2:中間CA証明書をイントールしていますか?

ADCをSSLアクセラレータとして導入する場合は、ADCには「SSLサーバ証明書」「秘密鍵」だけでなく中間CA証明書のインストールも必要となります。ベリサインを利用している場合、ADCには「中間CA証明書とクロスルート証明書」のインストールが必要となります。

SSL通信の確認 3:試験PCにルート証明書はありますか?

ベリサインなど大手のSSLサーバ証明書を利用する場合には、PCに標準でそのルート証明書がインストールされているため先ず問題は起こりませんが、そうではない場合、その試験用PCにそのルート証明書をインストールしている必要があります。

確認すべき3点は以上です。ADCに、SSLサーバ証明書、秘密鍵、中間CA証明書などが正しくインストールできている場合上記の3つを確認すれば、大体は上手くいくのですが、それでもうまくいかない場合は、以下の問題切り分けについてもご参考頂ければと思います。

SSL通信時の問題の切り分け 1:試験PCの状態を確認

先ず、試験PCをセキュリティ的にゆるい状態にしましょう。具体的に以下をチェックします。

・ Windows Firewallなどを全て無効化

・ ウィルスソフトの無効化

・ Webブラウザのプロキシチェックは外す

次に、試験PCで利用するWebブラウザを変えてみたり、PC自体を変えてみましょう。

・ SSL通信を行うWebブラウザの種類を変えてみる(Firefox、Chrome、IEの3つで確認)

・ 異なるWindows OSがインストールされた別の試験PCに変えてみる。

SSL通信時の問題の切り分け 2:最小限の構成要件で通信試験

・ 先ず、アクセス先の仮想サーバと試験PCを同一セグメントにして確認しましょう。

・ 次に、L7(SSL通信)で上手くいかないなら、L4レベルで正常に動作するのかを確認

・ BIG-IPなどの場合、iRuleなどの適用を外したり、最小構成で確認してみましょう。

SSL通信時の問題の切り分け 3:ADCの状態を変えてみる

この切り分けは時間がかかるので、この確認を行う前に、本当に現在のADCの設定が正しいかどうかを周りのエンジニアにも確認してみましょう。ADCの設定は正しく、インストールしたSSLサーバ証明書・秘密鍵・中間CA証明書が正しい、試験PCにも全く問題がない、ということであれば、ADCの以下の点について疑って問題切り分けを行いましょう。

1. ADCのそのソフトウェアにSSL通信におけるバグがないかどうかを確認しましょう。

2. 検証機材のADCがあれば、そのADC(代替機)で正常に動作するのかを確認しましょう。

上述の「2」はとても時間がかかりSI工数がもったいないので、これを実施するのでしたら、現在の機器(ADC)で設定時に何らかの不整合が発生している可能性もあることから、これも少し時間がかかりますが、最初からセットアップ(設定)をやり直すことも検討しましょう。

セットアップし直しや、代替機で確認する場合、とにかく最小構成にして確認しましょう。

簡単ではありますが、以上です。検証時に役立つ知識としてご活用いただければと思います。

  • このエントリーをはてなブックマークに追加