Oracle Application Server 管理者ガイド 10gリリース3(10.1.3.1.0) B31834-01 |
|
この章では、SSLに関する一般的な疑問点とエラーについて説明します。
この章の項目は次のとおりです。
SSLに名前ベースの仮想ホスティングを使用することはできません。これはSSLの制限です。
SSLを使用して複数の仮想ホストを構成する必要がある場合は、次のような回避策があります。
name1
: 443
、name2
: 553
)。これによって、同じIPを使用できるようになります。ただし、非標準のポート番号を使用する必要があります。標準の443ポートを使用できるのは1つの名前のみです。他の名前は別のポート番号を使用する必要があります。
エラーの原因を判断するには、Oracle Netトレースを有効にすることが必要になる場合があります。Oracle Netトレース・パラメータの設定の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。
ORA-28759: ファイルのオープンに失敗しました
原因: 指定されたファイルを開くことができませんでした。通常、このエラーはOracle Walletが見つからないために発生します。
処置: 次の項目をチェックします。
ORACLE_HOME/Apache/Apache/conf/ssl.wlt/default
)か、ORACLE_HOME/Apache/Apache/conf/ssl.conf
ファイルのSSLWallet
ディレクティブで指定された場所にあることを確認します。このディレクトリは、Walletを保存した場所と同じになります。
ORA-28786: 暗号化された秘密鍵の復号化に失敗しました
原因: 暗号化された秘密鍵の復号化に正しくないパスワードが使用されました。多くの場合、Walletの自動ログインが使用されていないために発生します。
処置: Oracle Wallet Managerを使用して、Walletの自動ログイン機能を有効にします。次に、Walletを再保存します。詳細は、第11.1.4.14項「自動ログインの使用」を参照してください。
ORA-28858: SSLプロトコル・エラーが発生しました
原因: これは、2つのプロセス間のSSLハンドシェイク・ネゴシエーション中に発生する一般的なエラーです。
処置: Oracle Netトレースを有効にして接続を再試行し、トレース出力を生成します。次に、トレース出力を手元に用意して、オラクル社カスタマ・サポート・センターに連絡してください。
ORA-28859: SSLでネゴシエーションに失敗しました
原因: SSLプロトコルの一部である2つのプロセス間のネゴシエーション中にエラーが発生しました。このエラーは、接続の両端のサーバーとクライアントで共通の暗号スイートがサポートされていないときに発生する場合があります。
処置: Oracle HTTP Serverとクライアント(ブラウザ)で構成されている暗号スイートが、クライアントとサーバーの両方に対して互換性があるかどうかを確認します。
Oracle HTTP Serverで構成されている暗号スイートを確認するには、ORACLE_HOME/Apache/Apache/conf/ssl.conf
ファイル内のSSLCipherSuite
ディレクティブをチェックします。
ブラウザで構成されている暗号スイートをチェックするには、ブラウザのドキュメントを参照してください。ブラウザにはそれぞれ独自の暗号スイートの設定方法があります。
また、クライアントとサーバーのSSLのバージョンが同じであるか、互換性があることを確認してください。たとえば、サーバーがSSL 3.0のみに対応し、クライアントがTLS 1.0のみに対応している場合、SSL接続は失敗します。
ORA-28862: SSL接続に失敗しました
原因: このエラーは、ピアが接続をクローズしたために発生しました。
処置: 次の項目をチェックします。
ORACLE_HOME/Apache/Apache/conf/ssl.wlt/default
)か、ORACLE_HOME/Apache/Apache/conf/ssl.conf
ファイルのSSLWallet
ディレクティブで指定された場所にあることを確認します。このディレクトリは、Walletを保存した場所と同じになります。
ORA-28865: SSL接続はクローズしました
原因: 基盤となるトランスポート層でエラーが発生したか、ピア・プロセスが予期せず終了したために、SSL接続がクローズされました。
処置: 次の項目をチェックします。
ssl.conf
ファイル内のSSLVerifyClient
ディレクティブがrequire
に設定されている場合、クライアントは証明書をサーバーに渡しません。サーバーがクライアントの証明書を受信しないと、サーバーはクライアントを認証できないため、接続がクローズします。この問題を解決するには、別の暗号スイートを使用するか、SSLVerifyClient
ディレクティブをnone
またはoptional
に設定します。暗号スイートのチェック方法の詳細は、「ORA-28859: SSLでネゴシエーションに失敗しました」を参照してください。
ORA-28868: ピア証明連鎖のチェックに失敗しました
原因: ピアが提示した証明連鎖が確認されましたが、その確認に失敗しました。この失敗は、次のようないくつかの問題が原因になっている可能性があります。
処置: 第11.1.4.3項「既存のWalletを開く」の手順に従って、Oracle Wallet Managerを使用してWalletを開き、次の点を確認します。
ORA-28885: 必須の鍵使用方法のある証明書が見つかりません。
原因: 証明書が、X.509バージョン3の適切な鍵使用目的拡張属性を使用して作成されていません。
処置: Oracle Wallet Managerを使用して、証明書の鍵の使用方法を確認します。詳細は、表11-4「X.509バージョン3のKeyUsage拡張タイプ、値および説明」を参照してください。
ORA-29024: 証明書の妥当性チェックに失敗しました
原因: 相手から送信された証明書の妥当性を確認できませんでした。これは、証明書が、期限切れか、取り消されているか、他の理由によって無効になっているときに発生する場合があります。
処置: 次の項目をチェックします。
ORA-29223: 証明連鎖を作成できませんでした
原因: インストールされている証明書の既存のトラスト・ポイントを使用して、証明連鎖を作成できません。通常、このエラーが返されるのは、ピアから完全な連鎖が提供されず、証明連鎖を完成するための適切なトラスト・ポイントがない場合です。
処置: Oracle Wallet Managerを使用して、連鎖を完成するのに必要なトラスト・ポイントをインストールします。詳細は、第11.1.5.2.1項「信頼できる証明書のインポート」を参照してください。
|
Copyright © 2002, 2006, Oracle. All Rights Reserved. |
|