質問

Solution ID : SO24004

iPlanet 一部のブラウザや携帯電話で警告が表示されます。

Problem

iPlanet サーバに正しく証明書をインストールしているにもかかわらず、一部のブラウザや携帯電話などで警告が表示されます。

Solution

  • サーバ環境の証明書データベースに、ルート証明書「VeriSign Class 3 Public Primary Certification Authority - G5」 (以下、G5ルート)がインストールされている場合、クロスルート設定用証明書を介さず証明書の信頼チェーンが確立されてしまうため、クロスルート設定用証明書をクライアントへ送出できていない可能性があります。
  • 本事象はiPlanet7.0 Windows版 の利用で確認しておりますが、他のOS上で動作するiPlanet の場合、および他のバージョンのiPlanet も該当する可能性があります。

以下の手順で証明書データベースにインストールされているG5ルートの削除を実施し、クロスルート設定用証明書が送出されるようにしてください。

  • この手順では、iPlanet の組み込み型(ビルトイン)証明書の全てを削除します。サーバ間通信等、サーバIDでのサーバ-クライアント間のSSL通信以外の用途では、通信に支障をきたすおそれがあります。実施においてはリスクが伴うことをご理解のうえ、十分な動作確認後に本番環境へ適用するようにしてください。
  • 作業前には管理コンソール画面を開き、対象のインスタンスで認証局の証明書一覧にG5ルートが存在することを確認し、ベンダに上記事象に該当する環境かどうかを確認されることを強くお勧めいたします。
  1. Web Server を停止します。
     
  2. Web Server インスタンスの config ディレクトリに変更します。
      C:\>cd "C:\Program Files\Oracle\WebServer7\<インスタンス名>\config"
     
     
  3. Root Certs モジュールを一覧表示します。
    C:\Program Files\Oracle\WebServer7\<インスタンス名>\config>"C:\Program Files\Oracle\WebServer7\lib\modutil" -list -nocertdb -dbdir .
     
     
  4. Root Certs モジュールを削除します。
    コマンド実行後、確認のためにもう一度Enterキーを押す必要があります。
    C:\Program Files\Oracle\WebServer7\<インスタンス名>\config>"C:\Program Files\Oracle\WebServer7\lib\modutil" -dbdir . -delete "Root Certs" 
     
     
  5. Enter キーを押した後、Root Certs モジュールが削除されたことを示すメッセージが表示されます。
     
    • ※ これは iPlanet7 を利用した場合の一例です。利用環境等により、対象のフォルダ名やコマンド、オプションパラメータが異なる場合があります。詳細は利用環境ごとに開発元に確認してください。
       
  6. iPlanet の管理コンソールを開き、「構成」→「インスタンス名」をクリックします。
    • ※ インスタンス停止中に実行した場合は、起動画面の前に手順12.の画面が表示されます。RootCert Delete後にインスタンスを起動してください。
     
     
  7. 画面右上の「インスタンス設定が変更されています」をクリックします。
     
     
  8. 「構成の配備」画面が表示されます。「構成を取得し配備します」オプションを選択し、「了解」ボタンをクリックします。
     
     
  9. 配備中の画面が表示されます。

     
  10. 配備が完了すると、再起動を促す画面が表示されます。「了解」ボタンをクリックします。
     
     
  11. 以下の画面が表示されます。「今すぐ」オプションを選択して「了解」ボタンをクリックして再起動します。
     
     
  12. 以下の画面が表示されます。「閉じる」ボタンをクリックします。
     
     
  13. 変更内容が反映されました。「証明書」をクリックします。
    • ※ トークンパスワードの入力が求められた場合は入力して「了解」ボタンをクリックします
     
     
  14. 「認証局」をクリックします。G5ルートが削除され、クロスルート設定用証明書と製品毎の中間証明書のみが表示されていることが確認できます。
     

【参考】G5ルート(VeriSign Class 3 Public Primary Certification Authority - G5)の存在確認

G5ルートは以下の証明書です。iPlanet 管理コンソールにて以下の証明書が認証局証明書の中に存在しているか確認して下さい。
 



■ 参考資料

Symantec SSL Certificate Install Checker

必要な中間CA証明書をすべて正しくインストールしても、SSL接続で警告が表示されたり接続できなかったりします