ページの先頭です。
ここから本文です。

よくあるご質問(サポートFAQ)

【WebOTX Application Server】クライアント認証ありの場合にエラーが発生する(OTX-FAQ-000879)

質問内容

WebOTX Webサーバ(Apache)を利用しクライアント認証ありのSSLを利用した接続でエラーが発生する

回答内容

WebOTX Webサーバ(Apache)を利用しクライアント認証ありのSSLを利用した接続で、error.logに次のような再ネゴシエーションによる接続の失敗を示すメッセージが出ている場合、ブラウザ側で再ネゴシエーションを拒否している可能性があります。

AH02261: Re-negotiation handshake failed

クライアント認証有無やSSLVerifyDepthの数値について、セキュリティが低い状況から高い状況に移る際に再ネゴシエーションが必要となります。具体的には、LBからのヘルスチェック後に動的コンテンツの呼び出しが行われる場合が該当します。その際ブラウザ側で再ネゴシエーションを拒否している可能性があります。

事象回避のため、<VirtualHost>内で、セキュリティが低い状況から高い状況に移ることが無いよう、<VirtualHost>をクライアント認証が必要なものと、(クライアント認証が不要な)ヘルスチェック用で、わけることをご検討ください。

設定イメージは次の通りです。
※Webサーバのディレクトリが「C:/WebOTX/WebServer24」である場合の例です。
----------------------------------------
# クライアント認証が必要なもの
# "SSLVerifyClient optional"の定義を削除する
<VirtualHost *:443>
:
ServerName <サーバ名>
:
SSLCertificateFile "C:/WebOTX/WebServer24/conf/ssl.crt/kensyo.crt"
SSLCertificateKeyFile "C:/WebOTX/WebServer24/conf/ssl.key/kensyo.key"
SSLCACertificateFile "C:/WebOTX/WebServer24/conf/ssl.crt/rootcert_sha1.crt"

SSLCARevocationFile "C:/WebOTX/WebServer24/conf/ssl.crl/sha1.crl"
SSLCARevocationCheck leaf
:
<Location /Test/example>
SSLVerifyClient require
SSLVerifyDepth 3
SSLRequire (%{SSL_CLIENT_S_DN_O} eq "NEC CO., LTD." and %{SSL_CLIENT_S_DN_OU} eq "Test System")
</Location>
:
</VirtualHost>

# (クライアント認証が不要な)ヘルスチェック用
# "SSLVerifyClient"の定義をしない
<VirtualHost *:443>
:
ServerName <サーバ名>
:
SSLCertificateFile <ServerNameに対応したサーバ証明書>
SSLCertificateKeyFile <サーバ証明書に対する秘密鍵>
:
</VirtualHost>
----------------------------------------

URLに指定するホスト名は異なりますが、同じ環境で動作するアプリケーションへアクセスすることになりますので、ヘルスチェックとしての意味はあると考えます。ただし、証明書を別途用意して頂く必要がある点、ご了承ください。

クライアント認証に関する設定の詳細は、次のマニュアルをご確認ください。

 V8.1~V8.2 [運用編 > コンフィグレーション > 共通SSL設定 > WebOTX Webサーバを使う場合 > 双方向認証の場合の手順]
 V8.3~V9 [リファレンス集 運用管理・設定編 > コンフィグレーション > 共通SSL設定 > WebOTX Webサーバを使う場合 > 双方向認証の場合の手順]
 V10以降 [リファレンス > 設定 > 共通SSL設定 > WebOTX Webサーバを使う場合 > 双方向認証の場合の手順]

また、ssl.confに定義する、SSLCACertificateFile、SSLVerifyClientといった各ディレクティブの説明は次の箇所にあります。

 V8.1~V8.2 [運用編 > コンフィグレーション > 運用と操作 > 各サービスの運用 > WebOTX Webサーバ運用ガイド > 定義情報 > SSL 定義]
 V8.3~V9 [リファレンス集 運用管理・設定編 > コンフィグレーション > HTTPサーバ > WebOTX Webサーバ設定方法 > SSL 定義]
 V10以降 [リファレンス > 設定 > HTTPサーバ > WebOTX Webサーバ設定方法 > SSL 定義]


【対象製品】Application Server
【確認済みのバージョン】V8以降
【確認済みのエディション】すべて
【確認済みの対象OS】すべて
【確認済みのJavaバージョン】すべて
【コンポーネント】Webサーバ
【カテゴリー】運用/設定

製品名カテゴリ

WebOTX
WebOTX Application Server

  • コンテンツID: 3150114999
  • 公開日: 2020年06月16日
  • 最終更新日:2020年06月16日

アンケート

サポート情報充実のためアンケートにご協力をお願いいたします。

コメント欄:
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。