検証環境などで作り直しが多く発生する環境で、証明書期限が切れたり作業環境に取り込んだ証明書が以前のものとダブっててアクセスできなかったり、Windows では大丈夫なのに Mac の Chrome などのブラウザで弾かれてしまうといったことがあります。
今回はそれらの回避方法の覚え書きです。
※Firefoxは割と雑(?)で再取り込みすれば表示出来るようです。
事象:ブラウザでオレオレ証明書のサイトが開けなくなる
上画面のように Chrome で検証環境の Web UI にアクセスした際に、証明書の許可が出来ない時などに " NET::ERR_CERT_INVALID " のエラーコードや、" このウェブサイトからいつもとは異なる誤った認証情報が返されました "などと表示されます。
いつもなら無視して先にすすめるのですが、上画面のように無視して先に進めない場合は以下の二通りの方法で回避が可能です。
証明書のリスクを無視する方法
とりあえず回避する方法では、上記の " NET::ERR_CERT_INVALID " のエラーが表示された画面で
thisisunsafe
とキーボードで打つだけです。
※ 画面上に何も表示されませんが、thisisunsafe と打てば画面が次に進むはずです。
毎回打つのがめんどくさい、以前証明書を取り込んだのが悪さしているかも?という場合は次の手順を行ってください。
※ Mac OS の場合、Windows で問題なかったサイトでも " NET::ERR_CERT_INVALID " が表示されることがあります。その時は面倒ですが thisisunsafe してください。
以前取り込んだ証明書が悪さをしている場合は証明書を削除
@ITの以下の記事を参照した手順なので、より詳細は@ITの以下の記事を参照してください。
以前取り込んだ証明書を削除して、再度きれいな状態にします。
今回は以前の投稿(vCenterの証明書取り込み)の環境の証明書を削除します。
いつものように接続するには以前取り込んだ証明書を管理コンソールから削除する必要があります。
証明書を取り込んだ場所によって、以下のローカルコンピュータか、ユーザーかで開くコンソールが異なります。
以下のプログラムを実行します。
証明書をインポートした場所を開きます。ここでは「信頼された証明機関」を選びました。
vCenterのオレオレ証明書の場合は、以下のように発行先、発行者がCAになっています。
ここは個人がインポートしたものを正しく選択してください。
※ vCenter Server Appliance ( vCSA 6.7 / vCSA 7.0)を初期デプロイした際の証明書情報は以下の"/usr/lib/vmware-vmca/share/config/certool.cfg" にて確認できます。
以下のプログラムを実行します。
- ローカルコンピュータ
certlm.msc - 個人
certmgr.msc
証明書をインポートした場所を開きます。ここでは「信頼された証明機関」を選びました。
vCenterのオレオレ証明書の場合は、以下のように発行先、発行者がCAになっています。
ここは個人がインポートしたものを正しく選択してください。
※ vCenter Server Appliance ( vCSA 6.7 / vCSA 7.0)を初期デプロイした際の証明書情報は以下の"/usr/lib/vmware-vmca/share/config/certool.cfg" にて確認できます。
cat /usr/lib/vmware-vmca/share/config/certool.cfg## Template file for a CSR request## Country is needed and has to be 2 charactersCountry = USName = CAOrganization = VMwareOrgUnit = VMware EngineeringState = CaliforniaLocality = Palo AltoIPAddress = 127.0.0.1Email = email@acme.comHostname = server.acme.com
この Name = CA が今回削除対象のものとなります。
プロパティの中身は以下のようになり、自分が取り込んだものだと分かります。
削除します。
削除後、ブラウザを開いているタブを全部閉じ、再起動すればいつものオレオレ証明書の許可画面が開くと思います。
削除します。
削除後、ブラウザを開いているタブを全部閉じ、再起動すればいつものオレオレ証明書の許可画面が開くと思います。
ここまで来ても再びエラーが出るときは恐らく画面上に「HSTS が使用されているため、現在アクセスできません」などと表示されているかもしれません。
その時は Chrome の URL 欄に
chrome://net-internals/#hsts
と入力し、一番下にスクロールして " Delete domain security policies " 欄に問題のドメイン FQDN を入力して削除を実行してください。
恐らくアクセスできるようになります。
以上、ちょっとしたTipsでした。
0 件のコメント:
コメントを投稿