StartSSL の sec_error_unknown_issuer 問題を解決する。

2015年の年末、StartSSLのウェブサイトは一新されました。機能は変わっていないようですが、綺麗になりました。しかし、記述内容が変わらないままでは、利用者にとって不便が生じます。

クラス2の認証を苦労して取りました。しかし、いざインストールしてみたら、Firefoxが文句を言ってくれます。「sec_error_unknown_issuer」だと。つまり、証明書の発行者を認識できません。困ったなぁ。「https://www.startssl.com/Support?v=21」の指示にしたがってやったのに、もちろんクラス2に合わせて「sub.class2.server.ca.pem」を使用している。

ネットを検索する。色々試しましたが、やはり聞かなかった。

最後に、解決案はやはり自分で編み出さなきゃ。

Apacheの設定サンプルに下記に類する文言があります。

SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem

これが手がかりです。この設定は中間証明書の設定です。StartSSLの中間証明書はすべて一新されています。もとのURLでダウンロードしようと、リダイレクトされず、別の使えないファイルのパスだけが内容とされダウンロードされます。本当の中間証明書は「https://www.startssl.com/root」の「Intermediate CA Certificates」タブの「SSL Certificates 」セクションからダウンロードできます。

自分の方はクラス2なので、https://www.startssl.com/certs/sca.server2.crt をダウンロードして、下記のようにApacheを設定します。

SSLCertificateChainFile /usr/local/apache/conf/sca.server2.crt

Apacheを再起動してみたら、全てOKになります。

 

Leave a Reply

Your email address will not be published. Required fields are marked *