Novell(クラウドコンピューティングのセキュリティ・仮想化ソリューションを実現)

 

SMTサーバで登録しようとすると、suse_registerがcurlエラー60で停止する

This document (7002146) is provided subject to the disclaimer at the end of this document.

環境

Novell SUSE Linux Enterprise Server 10
Novell SUSE Linux Enterprise Desktop 10
Novell Open Enterprise Server 2 (OES 2)


問題の状況

クライアントをSMTサーバに登録しようとすると、次のエラーが発生します。



linux-client:~ # suse_register -a email=$EMAIL -a regcode-sles=$REGCODE curlコマンドの実行が'60'で失敗しました: curl: (60) SSL証明書に問題があります。CA証明書が正しいことを確認してください。詳細:エラー:14090086:SSLルーチン:SSL3_GET_SERVER_CERTIFICATE:証明書の検証に失敗しましたその他の詳細:cURL - サーバSSL証明書の詳細

curlはデフォルトで、認証局(CA)公開鍵(CA証明書)の「バンドル」を使用して、
SSL証明書検証を実行します。デフォルト
バンドルはcurl-ca-bundle.crtという名前です。
--cacertオプションを使用して、別のファイルを指定できます。
このHTTPサーバが 
バンドルにあるCAが署名した証明書を使用する場合、証明書に 
問題があるため、証明書検証は失敗する可能性があります 
(期限切れ、名前がURLのドメイン名と一致しないなど)。
curlが証明書検証を実行しないようにするには、 
-k(または--insecure)オプションを使用します。

解決策

この問題は、次の条件で発生することがあります。

  • サーバとクライアントの時刻と日付が異なる
  • 証明書がサーバで作成され、その後時刻が調整されたため、証明書が無効になっている
  • サーバ証明書がSMTのvhostセットアップで設定されたが、 /srv/www/htdocs/smt.crtのCAのパブリック部分が証明書と一致しない

追加情報

対処方法

原因:サーバの時刻と日付が異なる

NTP (Network Time Protocol)を使用して、サーバとクライアントの時刻を同期させます。このためには、YaST2 NTPモジュールを使用してNTPクライアントをセットアップします。
ローカルNTPサーバを使用できない場合は、近くのNTPサーバのパブリックIPを検索します。クライアントがサーバと同期するまで、時間がかかることがあります。ファイアウォール構成によっては、外部NTPサーバと通信するポートを調整する必要があります。


原因:時刻が調整される前に証明書が作成されている

次のコマンドを使用します。


openssl x509 -in <certificate file> -text

証明書の有効性を確認できます。出力の重要な部分を次に示します。

mspiggy:/srv/www/htdocs # openssl x509 -in smt.crt -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            b0:4a:85:14:d2:33:86:c8
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=DE, CN=YaST Default CA (mspiggy)/emailAddress=postmaster@domain.site
        Validity
            Not Before: Nov 19 11:52:58 2008 GMT
            Not After : Nov 17 11:52:58 2018 GMT
        Subject: C=DE, CN=YaST Default CA (mspiggy)/emailAddress=postmaster@wehnerts.site
        Subject Public Key Info:

opensslコマンドの出力のValidityセクションが一致するか、確認します。


原因:サーバ証明書がCAと一致しない

SMTはCAの公開部分のコピーをsmt.crtとして /srv/www/htdocsに保存します。このコピーは、クライアントがダウンロードしてSMTサーバの検証に使用します。
既存の証明書を使用してApache2ホストを設定した場合、CAコピーと証明書が一致しないことがあります。
該当するCAの部分を/srv/www/htdocs/smt.crtにコピーして、clientsetup4smt.shを使用してクライアントにインポートします。



Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。

  • ドキュメントID: 7002146
  • 作成年月日: 10-DEC-2008
  • 修正年月日: 24-DEC-2008
  • ドキュメントリビジョン:
  • 分類:
  • 対象NOVELL製品およびバージョン: Open Enterprise Server, SUSE Linux Enterprise Desktop, SUSE Linux Enterprise Server
  • カテゴリ: