MozillaZine.jp フォーラム
https://forums.mozillazine.jp/

サーバー証明書の更新が反映されない
https://forums.mozillazine.jp/viewtopic.php?f=3&t=6880		 ページ 12
作成者:  SU3 [ 2008年1月11日(金) 18:08 ]
記事の件名:  サーバー証明書の更新が反映されない
当方、Linux上で、POPS(POP over SSL)サーバーを立ち上げ、Windows Vista上のThunderbird(2.0..と2.0.0.9)からMailの受信を行っていました。
 POPSサーバー上のサーバー証明書の期限が切れてしまったので、Linux上でサーバー証明書を更新したのですが、ThunderbirdでLinuxにアクセスしても、「期限切れのサーバー証明書」というポップアップが現れてしまいます。「証明書を表示」で証明書の内容をみても、内容は更新されていないようです。 :oops:
 当初はPOPサーバー側のサーバー証明書の更新の問題と考えていたのですが、Vistaを動かしているPC上でデュアルブートで使用しているのLinux(CentOS 5.1,IPアドレスもVistaの場合と同じにして運用)上のThunderbird(1.5.0.12)でPOPサーバーにアクセスすると、証明書の期限は更新したサーバー証明書のものになっていました。 :shock: Vista上のOutlook 2003でアクセスしても警告は現れないので、多分、期限が更新されたサーバー証明書を受け取っているのではないかと推定されます。
サーバー証明書がThunderbird上でキャッシュされている可能性を考え、Thunderbirdをアンインストール・再 インストールしたのですが、問題は解決しませんでした。

 どなたか、情報をお持ちでしたら、ご教授お願いします。
作成者:  kiyo4_k [ 2008年1月12日(土) 02:00 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
証明書をThunderbird上で削除したりインポートし直したり、そういう操作はしていないのですか?
Outlook 2003とは証明書ストアが違うはずなので、Windows証明書ストアのは更新されていてもThunderbirdの証明書ストアの証明書は古いままということは有りそうです。
作成者:  [ 2008年1月12日(土) 22:49 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
SU3 さんが書きました:
サーバー証明書がThunderbird上でキャッシュされている可能性を考え、Thunderbirdをアンインストール・再 インストールしたのですが、問題は解決しませんでした。

 どなたか、情報をお持ちでしたら、ご教授お願いします。
Thunderbird で保存されている証明書は ツール -> オプション -> 詳細 -> 証明書 -> 証明書を表示 で確認できます。該当するものは表示されますか?
(ここで「サイト」と表示されるのはバグで、「サーバ」とでも読み替えてください。)

Thunderbird のユーザ設定やデータはプロファイルフォルダに保存されますので、アンインストール・再インストールではほとんどの場合問題は解決しません。証明書ストアもプロファイルの中です。
リリースノートを参照してください。
作成者:  kiyo4_k [ 2008年1月12日(土) 22:55 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
a さんが書きました:
Thunderbird で保存されている証明書は ツール -> オプション -> 詳細 -> 証明書 -> 証明書を表示 で確認できます。該当するものは表示されますか?
SU3 さんが書きました:
「証明書を表示」で証明書の内容をみても、内容は更新されていないようです。
たぶん見てから更新されてないって判断だと思います。
作成者:  [ 2008年1月13日(日) 00:54 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
kiyo4_k さんが書きました:
たぶん見てから更新されてないって判断だと思います。
そのもう少し手前から見ると
SU3 さんが書きました:
ThunderbirdでLinuxにアクセスしても、「期限切れのサーバー証明書」というポップアップが現れてしまいます。「証明書を表示」で証明書の内容をみても、内容は更新されていないようです。
ということですから、「期限切れのサーバー証明書」というポップアップから「証明書を表示」を見ただけであって、「ツール -> オプション -> 詳細 -> 証明書 -> 証明書を表示」を確認したわけではないのだろうと想像しています。

あくまで想像なので回答を待ちますが、今の時点では次のようなシナリオを妄想しています。
  • 使用している証明書はオレオレだった。
  • アクセスすると警告が出るので、その証明書を永久に受け入れる選択した。(=証明書ストアに保存した。)
  • しかし、証明書ストアに保存されるということを理解していなかった。
作成者:  kiyo4_k [ 2008年1月13日(日) 01:08 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
a さんが書きました:
「期限切れのサーバー証明書」というポップアップから「証明書を表示」を見ただけであって、「ツール -> オプション -> 詳細 -> 証明書 -> 証明書を表示」を確認したわけではないのだろうと想像しています。
ああ、ポップアップ上に同じ「証明書を表示」ボタンが有るってことですね。なるほど。
作成者:  [ 2008年1月13日(日) 09:19 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
kiyo4_k さんが書きました:
a さんが書きました:
「期限切れのサーバー証明書」というポップアップから「証明書を表示」を見ただけであって、「ツール -> オプション -> 詳細 -> 証明書 -> 証明書を表示」を確認したわけではないのだろうと想像しています。
ああ、ポップアップ上に同じ「証明書を表示」ボタンが有るってことですね。なるほど。
ええっと、同じ「証明書を表示」ではなくて
  • ポップアップ上にあるものは、その期限切れの証明書の中身を表示するもの。
  • オプション内にあるものは、証明書ストアの中身(=証明書の一覧)を表示するもの
で、別物です。
前者しか見ていないのであれば、証明書ストアが理解できていなくてもおかしくないと思います。

# これを書いていて気づいたのですが、別物なのに同じ名前だとこういうときに混乱するので、本当はマズいですね。
作成者:  kiyo4_k [ 2008年1月13日(日) 10:05 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
a さんが書きました:
ええっと、同じ「証明書を表示」ではなくて
  • ポップアップ上にあるものは、その期限切れの証明書の中身を表示するもの。
  • オプション内にあるものは、証明書ストアの中身(=証明書の一覧)を表示するもの
で、別物です。
前者しか見ていないのであれば、証明書ストアが理解できていなくてもおかしくないと思います。

# これを書いていて気づいたのですが、別物なのに同じ名前だとこういうときに混乱するので、本当はマズいですね。
了解です。私も「証明書表示」のボタンが存在することを「同じ」と書いたんですが、別物だというのは理解しています。
あとから読む人にわかりやすい説明ありがとうございます。

リソースの節約でボタンの名前が同じというのは結構ありますね。わからなさそうな人のために書くときはパスを全部書かなきゃいけないので面倒なこともあります。
作成者:  SU3 [ 2008年1月13日(日) 13:11 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
皆様、回答どうもありがとうございます。SU3です。

連絡遅れてしまい申し訳ありません。
補足しますと、ポップアップでの証明書の確認の他かに、一応、ツール→オプション→証明書→証明書を表示→サイト証明書で、古い証明書を削除してから、一連の作業を行っています。
 アドバイスにありました通り、サーバー証明書をPOPSサーバーからftpでとってきて、サイト証明書にインポートしたのですが、状況は変わりませんでした。
 気になるのは、証明書の用途の項目が「クライアント,サーバー」ではなく「ステータスレスポンダ」になっている事ですが、これはローカルでインポート作業をしたからでしょうか?
作成者:  kiyo4_k [ 2008年1月13日(日) 23:17 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
SU3 さんが書きました:
 気になるのは、証明書の用途の項目が「クライアント,サーバー」ではなく「ステータスレスポンダ」になっている事ですが、これはローカルでインポート作業をしたからでしょうか?
用途はインポートしてから証明書に設定されている中から自分で選ばなきゃいけなかったような気がします。

で、今 私もmozillazine.jpの証明書の信用と用途の設定をやってみたら、証明書が一覧から消えて無くなってしまいました はて? どこへ行ってしまったんだろう。
# mozillazine.jpの証明書がThunderbirdの証明書ストアに有った理由を思い出し中 (^^;)
作成者:  [ 2008年1月14日(月) 02:37 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
SU3 さんが書きました:
補足しますと、ポップアップでの証明書の確認の他かに、一応、ツール→オプション→証明書→証明書を表示→サイト証明書で、古い証明書を削除してから、一連の作業を行っています。
どんな証明書をどのように保存したのかにもよると思いますが、自己署名証明書だったりすると認証局証明書の方に入っている場合もあるはずなので、サイト証明書以外のところに入っていないかも確認してみてください。

また、削除するだけでなく、それ以降の作業の前に Thunderbird を一度再起動した方が良いでしょう。
証明書ストアに保存されている証明書だけでなく、メモリ上に読み込まれている証明書も使われますが、メモリ上に読み込まれているものについては確認したり削除したりするユーザーインターフェースがないみたいなので、メモリ上のものを削除するには再起動する必要があります。

ところで、削除したということは保存されていたのですね?
正しい証明書であれば基本的には保存する必要はないはずですので、オレオレ証明書を受け入れて使用しているということでしょうか。
認証局が不明なため信頼できない、というのをパスする目的であれば、サーバ証明書を保存しておくのではなく認証局証明書の方をインポートするというのではダメでしょうか。
# それとも、自己署名証明書をそのままサーバ証明書として使っていたりするのでしょうか。
SU3 さんが書きました:
 アドバイスにありました通り、サーバー証明書をPOPSサーバーからftpでとってきて、サイト証明書にインポートしたのですが、状況は変わりませんでした。
 気になるのは、証明書の用途の項目が「クライアント,サーバー」ではなく「ステータスレスポンダ」になっている事ですが、これはローカルでインポート作業をしたからでしょうか?
あまり詳しくはないのですが、証明書の中に用途として記載されていないものは、出てこないような気がします。
したがって、証明書の中身が間違っているか、使う証明書を間違えているか、しているのではないでしょうか。

気になるのであれば、Windows に付属の証明書ビューアでも用途を確認してみたらどうでしょう?
kiyo4_k さんが書きました:
用途はインポートしてから証明書に設定されている中から自分で選ばなきゃいけなかったような気がします。
認証局の用途は選択できますが、サイト証明書の用途を選択するところは見当たらないような…
どこにあるのか教えてください^^;
kiyo4_k さんが書きました:
で、今 私もmozillazine.jpの証明書の信用と用途の設定をやってみたら、証明書が一覧から消えて無くなってしまいました はて? どこへ行ってしまったんだろう。
ひょっとして自己署名なサイト証明書ですか?自己署名だと、サイト証明書でありながら認証局証明書でもあるので、認証局証明書に入っているかもしれないです。
作成者:  kiyo4_k [ 2008年1月14日(月) 11:32 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
a さんが書きました:
kiyo4_k さんが書きました:
用途はインポートしてから証明書に設定されている中から自分で選ばなきゃいけなかったような気がします。
認証局の用途は選択できますが、サイト証明書の用途を選択するところは見当たらないような…
どこにあるのか教えてください^^;
サイト証明書を選択して「設定」、「認証局の信頼性を設定」ボタンで選択ダイアログが表示されますが、違うのかなぁ。


a さんが書きました:
kiyo4_k さんが書きました:
で、今 私もmozillazine.jpの証明書の信用と用途の設定をやってみたら、証明書が一覧から消えて無くなってしまいました はて? どこへ行ってしまったんだろう。
ひょっとして自己署名なサイト証明書ですか?自己署名だと、サイト証明書でありながら認証局証明書でもあるので、認証局証明書に入っているかもしれないです。
認証局証明書にも有りません。mozillazine.jpの証明書って自己署名なサイト証明書だったのかなぁ (^^;)
2・3日前にサーバ接続でごちゃごちゃやっていたので何かの拍子に取り込んだのかと思いますが、今の消えた状態で接続できているので問題は無さそうです。
別のオレオレ証明書を取り込んで試してみても消えません。
作成者:  SU3 [ 2008年1月14日(月) 13:44 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
SU3です。
kiyo4_k さんが書きました:
a さんが書きました:
kiyo4_k さんが書きました:
で、今 私もmozillazine.jpの証明書の信用と用途の設定をやってみたら、証明書が一覧から消えて無くなってしまいました はて? どこへ行ってしまったんだろう。
ひょっとして自己署名なサイト証明書ですか?自己署名だと、サイト証明書でありながら認証局証明書でもあるので、認証局証明書に入っているかもしれないです。
認証局証明書にも有りません。mozillazine.jpの証明書って自己署名なサイト証明書だったのかなぁ (^^;)
2・3日前にサーバ接続でごちゃごちゃやっていたので何かの拍子に取り込んだのかと思いますが、今の消えた状態で接続できているので問題は無さそうです。
別のオレオレ証明書を取り込んで試してみても消えません。

私のサーバ証明書も自己CAによるサーバー証明書だったみたいで、いつのまに「サイト証明書」のタブの中かなくなっていて、「認証局証明書」のところに移動していました。
 ftp経由でサーバ証明書のThunderbirdへの取り込みはできたのですが、POPサーバーから送られてくるのは、古いサーバー証明書で、状況は全く変わっていないので、やはりPOPサーバー(dovecot)の問題なのかもしれません。並行して、その線も調べてみようと思います。

引用の入れ子関係がおかしくなっていたので修正しました by Cai
作成者:  [ 2008年1月14日(月) 21:17 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
kiyo4_k さんが書きました:
a さんが書きました:
認証局の用途は選択できますが、サイト証明書の用途を選択するところは見当たらないような…
どこにあるのか教えてください^^;
サイト証明書を選択して「設定」、「認証局の信頼性を設定」ボタンで選択ダイアログが表示されますが、違うのかなぁ。
そこは「認証局の」信頼性を設定なので、認証局についての設定ですね。
もし、そこでサイト証明書自身に対しての設定ができるとしたら、そのサイトの認証局=それ自身、つまり自己署名です。
普通の(自己署名ではない)証明書であれば、そこではサイト証明書に対しての設定はできないです。
自己署名じゃないオレオレ証明書で試すと「この証明書の認証局がみつかりませんでした」って言われますね。
kiyo4_k さんが書きました:
別のオレオレ証明書を取り込んで試してみても消えません。
自己署名なオレオレ証明書で試してみようと思いましたが、改めて探してみるとすぐには見つからなかったのであきらめました。
自己署名なサーバ証明書がどこかにあったら教えてください^^;
作成者:  kiyo4_k [ 2008年1月14日(月) 22:01 ]
記事の件名:  Re: サーバー証明書の更新が反映されない
a さんが書きました:
もし、そこでサイト証明書自身に対しての設定ができるとしたら、そのサイトの認証局=それ自身、つまり自己署名です。
この説明を読んで、もう一度 認証局証明書の一覧をよーーく探してみたら有りました。
で、説明を読んで気がついたんですが私は自己署名の証明書とオレオレ証明書を同じ物と思っていたようです。勉強になりました、ありがとうございます。

a さんが書きました:
自己署名なサーバ証明書がどこかにあったら教えてください^^;
これ、Mozilla Japanのサーバの証明書なんです。CAもMozilla Japanなので認証局証明書に入ったんでしょうね。
でも、これがどうして有るのかはわからないんです (^^;)
たぶん、先週末にメールアドレスが発行されて、サーバにパスワードを設定しないままメールチェックしたときにThunderbirdで間違った設定で接続しに行ったときに証明書を取り込むかどうかのダイアログが表示されたような気がします(結局、Thunderbirdには証明書は関係なかったんですが)

ということで、私もVistaですが、取り込みや修正は反映されていますね。
ページ 12 All times are UTC + 9 hours
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/