Sidebar

Zabbix Summit 2022
Register for Zabbix Summit 2022

2 証明書の問題

CRLで使用されるOpenSSLと証明書チェーンの一部の CAでは、CRLがTLSCRLFileに含まれていない

OpenSSL ピアの場合の TLS サーバー ログ:

failed to accept an incoming connection: from 127.0.0.1: TLS handshake with 127.0.0.1 returned error code 1: \
           file s3_srvr.c line 3251: error:14089086: SSL routines:ssl3_get_client_certificate:certificate verify failed: \
           TLS write fatal alert "unknown CA"

GnuTLS ピアの場合の TLS サーバー ログ:

failed to accept an incoming connection: from 127.0.0.1: TLS handshake with 127.0.0.1 returned error code 1: \
           file rsa_pk1.c line 103: error:0407006A: rsa routines:RSA_padding_check_PKCS1_type_1:\
           block type is not 01 file rsa_eay.c line 705: error:04067072: rsa routines:RSA_EAY_PUBLIC_DECRYPT:paddin

CRL が期限切れになった、またはサーバー操作中に期限切れになった

OpenSSLサーバー ログ:

  • 期限切れ前:
cannot connect to proxy "proxy-openssl-1.0.1e": TCP successful, cannot establish TLS to [[127.0.0.1]:20004]:\
           SSL_connect() returned SSL_ERROR_SSL: file s3_clnt.c line 1253: error:14090086:\
           SSL routines:ssl3_get_server_certificate:certificate verify failed:\
           TLS write fatal alert "certificate revoked"
  • 期限切れ後:
cannot connect to proxy "proxy-openssl-1.0.1e": TCP successful, cannot establish TLS to [[127.0.0.1]:20004]:\
           SSL_connect() returned SSL_ERROR_SSL: file s3_clnt.c line 1253: error:14090086:\
           SSL routines:ssl3_get_server_certificate:certificate verify failed:\
           TLS write fatal alert "certificate expired"

ここでのポイントは、有効な CRL を使用すると、取り消された証明書が「証明書が取り消された」として報告されることです。 CRL の有効期限が切れると、エラー メッセージが「証明書の有効期限が切れました」に変わります。これは誤解を招く可能性があります。

GnuTLSサーバーログ:

  • 有効期限の前後で同じ:
cannot connect to proxy "proxy-openssl-1.0.1e": TCP successful, cannot establish TLS to [[127.0.0.1]:20004]:\
             invalid peer certificate: The certificate is NOT trusted. The certificate chain is revoked.

自己署名証明書や不明な CA

OpenSSLログ:

error:'self signed certificate: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/statem/statem_clnt.c\
             line 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:\
             TLS write fatal alert "unknown CA"'

これは、サーバー証明書が CA によって署名されているにもかかわらず、間違って発行者とサブジェクトの文字列が同じである場合に発生します。 最上位の CA 証明書では発行者とサブジェクトは同じですが、サーバー証明書では同じにすることはできません。 (プロキシ証明書とエージェント証明書も同様です)