【Debian】GlobalSignのルート証明書が有効期限切れで接続できない
昨日の1/28 21:00より、サーバに搭載されているGlobalSignのルート証明書が切れてしまった。
その時に対処した方法などのメモ。
事の発端は、急にGlobalSignの証明書を使っているサイトにサーバからアクセス出来ないという事が判明したところから。
wgetをしてみると確かにアクセス出来ない。
|
1 2 3 4 5 6 7 8 |
$ wget https://jp.globalsign.com/ --2014-01-29 16:59:02-- https://jp.globalsign.com/ Resolving jp.globalsign.com... 211.11.149.146 Connecting to jp.globalsign.com|211.11.149.146|:443... connected. ERROR: cannot verify jp.globalsign.com's certificate, issued by `/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - G2': Issued certificate has expired. To connect to jp.globalsign.com insecurely, use `--no-check-certificate'. Unable to establish SSL connection. |
しかしブラウザでアクセスしてみると普通に問題ない。
SSL Toolboxでみても問題がない。。
また、他のサーバでも現象がおきたり、おきなかったりする。
そうこう見ているうちにひとつの共通点としてDebian5で使っているサーバがダメということに気づいた。
(弊社で使っているのは今は殆どubuntu)
ということはサーバ側で持っているルート証明書が怪しいのでは考え、ルート証明書の置換えをしてみた。
以下からルート証明書をもってくる
GMOグローバルサイン株式会社のSSL・電子証明書サービスサイト
404 Not found -ご指定のページは見つかりませんでした。│SSL・電子証明書ならGMO...
GlobalSign_Root_CA.pemとして保存してサーバに転送し、置換えを行う。
|
1 2 |
# cp -p /var/tmp/GlobalSign_Root_CA.pem /var/tmp/GlobalSign_Root_CA.pem.bk # mv /var/tmp/GlobalSign_Root_CA.pem /etc/ssl/certs |
置き換えた後にwgetしてみると、、
|
1 2 3 4 5 6 7 8 9 10 11 |
$ wget https://jp.globalsign.com/ --2014-01-29 17:05:25-- https://jp.globalsign.com/ Resolving jp.globalsign.com... 211.11.149.146 Connecting to jp.globalsign.com|211.11.149.146|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: `index.html' [ <=> ] 37,133 --.-K/s in 0.01s 2014-01-29 17:05:25 (3.52 MB/s) - `index.html' saved [37133] |
問題なく接続できた。
調べたら巷では、結構騒がれていた。
RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ – インフラエンジニアway – Powered by HEARTBEATS
古いOSを使い続けるものじゃないですね。。。
