@Kyle Jones -- 私の質問は、ローカル マシンで QA サーバーの SSL 証明書を使用できないのはなぜですか?
@autonomatt -- サブ質問: VeriSign や他の企業から、SSL 証明書をインストールしているサーバーの数を尋ねられます...奇妙な顧客から電話がかかってきて、ブラウザが証明書に関する問題を報告しているとのことです...
合法的?
SSL 証明書を複数のコンピューターにインストールできますが、合法的にインストールできない場合があります。Network Solutions と同様に、Signing CA の会社には、購入に関する法的制限があります。SSL 証明書を購入する場合は、1 台のコンピューターにのみインストールするために購入します。証明書を購入する署名 CA の条件を読む必要があります。
技術的に?
技術的には、一部のハードウェア アクセラレーション SSL サーバーを除き、有効な SSL 接続を提供するために、キーと CRT を任意の Web サーバーにコピーできます。一部の SSL 証明書は、サーバー側にもインストールする必要がある証明書チェーンと共に CA から出荷/提供されることに注意してください。証明書チェーンがインストールされていないと、クライアント Web ブラウザーは SSL 証明書を適切に検証できません。CA チェーンに署名 CA から提供された SSL 証明書が提供されているかどうかを確認する必要があります。
IP 解決要件。また、SSL 証明書はホスト名にバインドされています。クライアント Web ブラウザがサーバーにリクエストを送信すると、ドメイン名から解決された IP アドレスに接続し、SSL/TLS ハンドシェイク プロセスを開始します。その IP アドレスで応答する Web サーバーは、クライアントの Web ブラウザーが IP アドレスを介して要求している共通名を持つ SSL 証明書を提示する必要があります。これは、1 つの IP アドレスにつき 1 つの SSL 証明書のみを構成できることを意味します。クライアントは暗号化された HTTP 1.1 リクエストのみを送信するため、サーバーは SSL/TLS ハンドシェイクが完了するまで、クライアントの実際のドメイン リクエストが何であるかを認識しません。
非実稼働 IP 解決。別の場所にインストールするには、Web ブラウザーがホスト名を IP アドレスに適切に解決する必要があります。したがって、非実稼働環境にいる場合、クライアントは実稼働環境とは異なる方法で IP アドレスを解決する必要があります。これは、代替 DNS サーバー、または代替 DNS 解決が必要なすべてのマシンのローカル ホスト ファイルで実行できます。
技術的なインストール プロセス。SSL 証明書を別のマシンにインストールするには、キー、SSL CRT、および CA チェーンを、Web サーバー用に構成された適切なファイルにコピーします。Apache の場合、SSL 証明書の 1 つの PEM ファイルにすべてを入れることができます。
次に、Web サーバーが、SSL 証明書の共通名を解決する IP アドレスでこの PEM ファイルを提供していることを確認します。
ワイルドカード SSL 証明書。一部の CA は、 *.domain.com などの Willdcard SSL 証明書も提供しています。Web ブラウザーはこのタイプの証明書を認識する必要があり、1 つのサブドメイン レベルのみを保護することに注意してください。したがって、www.domain.com は保護できますが、www.sub1.domain.com により、クライアントの Web ブラウザーがクライアント ユーザーに検証エラーを表示します。
クライアントの Web ブラウザーが SSL 証明書の検証エラーを受け取るいくつかの理由:
- CA チェーンが必要であるが、Web サーバーによって提供されていない場合。
- ルート署名 CA がクライアント Web ブラウザの SSL 機関で信頼できる CA でない場合 - これは自己署名 SSL 証明書の場合は常に当てはまります。
- クライアント Web ブラウザーが SSL 経由でドメインを要求している場合、それは SSL 証明書の共通名と一致しません。
- クライアント ブラウザが署名 CA から x509 CRL 配布ポイントにアクセスできない場合 - そのため、制限されたネットワークまたは閉鎖されたネットワーク上のクライアントは SSL 証明書の検証に失敗します。CRL の URL は、SSL/TLS ハンドシェーク中に提供されます。http://en.wikipedia.org/wiki/Revocation_list#Problems_with_CRLsも参照してください。