|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
証明書のトラブルシューティング
自分の証明書がPEM形式かどうかはどうやって確認できますか?
PEM形式は以下の特徴で認識できます:
-
ファイルは以下のヘッダーで始まります:
-----BEGIN CERTIFICATE-----
-
ヘッダーの後には長い文字列が続きます。
-
ファイルはフッターで終わります: ----証明書の終了----
PEM証明書の例:
----BEGIN CERTIFICATE----- MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV ... more lines VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg== -----END CERTIFICATE-----
PEM証明書キーの例:
-----BEGIN RSA PRIVATE KEY----- MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV ... more lines VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg== -----END RSA PRIVATE KEY-----
もしあなたのキーが以下の例のようであれば、PKCS8からPKCS1への証明書キーの変換を参照してください。
-----BEGIN PRIVATE KEY----- MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV ... more lines VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg== -----END PRIVATE KEY-----
PKCS8からPKCS1への証明書キーの変換
PKCS8証明書キーのファイルを使用している場合、Rancherは以下の行をログに記録します:
ListenConfigController cli-config [listener] failed with : failed to read private key: asn1: structure error: tags don't match (2 vs {class:0 tag:16 length:13 isCompound:true})
これを機能させるには、以下のコマンドを使用してキーをPKCS8からPKCS1に変換する必要があります:
openssl rsa -in key.pem -out convertedkey.pem
これで`convertedkey.pem`をRancherの証明書キーのファイルとして使用できます。
中間証明書を追加したい場合、証明書の順序はどうなりますか?
証明書を追加する順序は以下の通りです:
-----BEGIN CERTIFICATE----- %YOUR_CERTIFICATE% -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- %YOUR_INTERMEDIATE_CERTIFICATE% -----END CERTIFICATE-----
証明書チェーンを検証するにはどうすればよいですか?
`openssl`バイナリを使用して証明書チェーンを検証できます。コマンドの出力(以下のコマンド例を参照)が`Verify return code: 0 (ok)`で終わる場合、あなたの証明書チェーンは有効です。`ca.pem`ファイルは、`rancher/rancher`コンテナに追加したものと同じでなければなりません。
認識された証明書機関によって署名された証明書を使用する場合、`-CAfile`パラメータを省略することができます。
コマンド:
openssl s_client -CAfile ca.pem -connect rancher.yourdomain.com:443
...
Verify return code: 0 (ok)