Apache+OpenSSL:設定の確認

設定に誤りがあると、利用ユーザーがアクセスできない可能性があります。opensslのコマンドを用いるとSSLサーバ証明書の設定内容を確認することができます。

確認方法

  1. opensslコマンドを入力してください。

    # openssl s_client -connect コモンネーム:443
    

    SNIを利用している場合は、上記コマンドに-servernameオプションを追加してください。

    # openssl s_client -connect コモンネーム:443 -servername コモンネーム
  2. SSLサーバ証明書の詳細と連結内容を表示します。

    depth=階層 ルート証明書のSubject
    verify return:1
    depth=階層 中間証明書1のSubject
    verify return:1
    depth=階層 中間証明書2のSubject
    verify return:1
    depth=階層 お客様のSSLサーバ証明書のSubject
    verify return:1
    ---
    Certificate chain
     0 s:お客様のSSLサーバ証明書のSubject
       i:お客様のSSLサーバ証明書のIssuer(=中間証明書2)
     1 s:中間証明書2のSubject
       i:中間証明書2のIssuer(=中間証明書1)
     2 s:中間証明書1のSubject
       i:中間証明書1のIssuer(=ルート証明書)
    ---
    Server certificate
    -----BEGIN CERTIFICATE-----
    (略)
    
    CONNECTED(00000003)
    depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
    verify return:1
    depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
    verify return:1
    depth=1 C = JP, ST = Tokyo, L = Shinjuku-ku, O = "CENTRAL SECURITY PATROLS CO., LTD.", CN = CSP SSL Service CA 4
    verify return:1
    depth=0 C = JP, postalCode = 163-0831, ST = Tokyo, L = Shinjuku-ku, street = 2-4-1 Nishishinjuku, O = "CENTRAL SECURITY PATROLS Co.,Ltd.", OU = "Provided by CSP-FrontierTechnologies, Inc", OU = CSP SSL, CN = example.com
    verify return:1
    ---
    Certificate chain
    0 s:/C=JP/postalCode=163-0831/ST=Tokyo/L=Shinjuku-ku/street=2-4-1 Nishishinjuku/O=CENTRAL SECURITY PATROLS Co.,Ltd./OU=Provided by CSP-FrontierTechnologies, Inc/OU=CSP SSL/CN=cspssl.jp
    i:/C=JP/ST=Tokyo/L=Shinjuku-ku/O=CENTRAL SECURITY PATROLS CO., LTD./CN=CSP SSL Service CA 5
    1 s:/C=JP/ST=Tokyo/L=Shinjuku-ku/O=CENTRAL SECURITY PATROLS CO., LTD./CN=CSP SSL Service CA 5
    i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
    2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
    i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
    Server certificate
    -----BEGIN CERTIFICATE----- (略)

    正しく設定されている場合は、表示結果の末尾に下記を表示します。

    Verify return code: 0 (ok)

中間証明書が設定されていない場合

中間証明書が設定されていない場合はエラーとなり、さらにCertificate chainが途切れて表示されます。

CONNECTED(00000003)
depth=0 C = JP, postalCode = 163-0831, ST = Tokyo, L = Shinjuku-ku, street = 2-4-1 Nishishinjuku, O = "CENTRAL SECURITY PATROLS Co.,Ltd.", OU = "Provided by CSP-FrontierTechnologies, Inc", OU = CSP SSL, CN = sample.cspssl.jp
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = JP, postalCode = 163-0831, ST = Tokyo, L = Shinjuku-ku, street = 2-4-1 Nishishinjuku, O = "CENTRAL SECURITY PATROLS Co.,Ltd.", OU = "Provided by CSP-FrontierTechnologies, Inc", OU = CSP SSL, CN = sample.cspssl.jp
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = JP, postalCode = 163-0831, ST = Tokyo, L = Shinjuku-ku, street = 2-4-1 Nishishinjuku, O = "CENTRAL SECURITY PATROLS Co.,Ltd.", OU = "Provided by CSP-FrontierTechnologies, Inc", OU = CSP SSL, CN = sample.cspssl.jp
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=JP/postalCode=163-0831/ST=Tokyo/L=Shinjuku-ku/street=2-4-1 Nishishinjuku/O=CENTRAL SECURITY PATROLS Co.,Ltd./OU=Provided by CSP-FrontierTechnologies, Inc/OU=CSP SSL/CN=sample.cspssl.jp
   i:/C=JP/O=CENTRAL SECURITY PATROLS CO., LTD./CN=CSP SSL Service CA 5
---
Server certificate
-----BEGIN CERTIFICATE-----
(略)

表示結果の末尾は下記となりますので、設定内容を確認してください。

Verify return code: 21 (unable to verify the first certificate)

Apache関連情報

Apache

ページの先頭に戻る

  1. ホーム
  2. サポート
  3. マニュアル
  4. Apache + OpenSSL
  5. SSLサーバ証明書の設定