検証環境などで作り直しが多く発生する環境で、証明書期限が切れたり作業環境に取り込んだ証明書が以前のものとダブっててアクセスできなかったり、Windows では大丈夫なのに Mac の Chrome などのブラウザで弾かれてしまうといったことがあります。
今回はそれらの回避方法の覚え書きです。
事象:ブラウザでオレオレ証明書のサイトが開けなくなる
上画面のように Chrome で検証環境の Web UI にアクセスした際に、証明書の許可が出来ない時などに " NET::ERR_CERT_INVALID " のエラーコードや、" このウェブサイトからいつもとは異なる誤った認証情報が返されました "などと表示されます。
いつもなら無視して先にすすめるのですが、上画面のように無視して先に進めない場合は以下の二通りの方法で回避が可能です。
証明書のリスクを無視する方法
とりあえず回避する方法では、上記の " NET::ERR_CERT_INVALID " のエラーが表示された画面で
thisisunsafe
とキーボードで打つだけです。
※ 画面上に何も表示されませんが、thisisunsafe と打てば画面が次に進むはずです。
毎回打つのがめんどくさい、以前証明書を取り込んだのが悪さしているかも?という場合は次の手順を行ってください。
※ Mac OS の場合、Windows で問題なかったサイトでも " NET::ERR_CERT_INVALID " が表示されることがあります。その時は面倒ですが thisisunsafe してください。
以前取り込んだ証明書が悪さをしている場合は証明書を削除
今回は以前の投稿(vCenterの証明書取り込み)の環境の証明書を削除します。
いつものように接続するには以前取り込んだ証明書を管理コンソールから削除する必要があります。
以下のプログラムを実行します。
- ローカルコンピュータ
certlm.msc - 個人
certmgr.msc
証明書をインポートした場所を開きます。ここでは「信頼された証明機関」を選びました。
vCenterのオレオレ証明書の場合は、以下のように発行先、発行者がCAになっています。
ここは個人がインポートしたものを正しく選択してください。
※ vCenter Server Appliance ( vCSA 6.7 / vCSA 7.0)を初期デプロイした際の証明書情報は以下の"/usr/lib/vmware-vmca/share/config/certool.cfg" にて確認できます。
cat /usr/lib/vmware-vmca/share/config/certool.cfg## Template file for a CSR request## Country is needed and has to be 2 charactersCountry = USName = CAOrganization = VMwareOrgUnit = VMware EngineeringState = CaliforniaLocality = Palo AltoIPAddress = 127.0.0.1Email = email@acme.comHostname = server.acme.com
削除します。
削除後、ブラウザを開いているタブを全部閉じ、再起動すればいつものオレオレ証明書の許可画面が開くと思います。
chrome://net-internals/#hsts