Tunnel SSL 証明書ではクライアント認証とサーバ認証の有効化が必要

概要

Tunnel SSL 証明書では、証明書の拡張キー使用法にクライアント認証とサーバ認証の両方が指定されている必要があります。拡張キー使用法でクライアント認証とサーバ認証の両方が指定されていることが、UEM Console での Tunnel SSL 証明書の要件です。証明書がこの要件を満たしていない場合は、証明書の発行元に、クライアント認証とサーバ認証の両方を有効にした証明書の再発行を依頼する必要があります。 

 

クライアント認証やサーバ認証が有効になっていない場合のデバイス上での問題

証明書の拡張キー使用法でクライアント認証とサーバ認証のいずれかまたは両方が指定されていない場合、デバイスからアプリ ベース Tunnel への接続が失敗します。また、ホワイトリスト アプリからもアプリ ベース VPN をトリガできなくなります。 

上記の指定がない場合、Tunnel サーバのログには次のようなエントリが出力されます。

WARN: SSL certificate preverify FAILED err=26 (unsupported certificate purpose)
INFO: TCPSocket 7 bytes sent
DEBUG: *10416 SSL_do_handshake returns -1
ERROR: ProcessTCPRead PerformHandshake returns VPN_ERROR
INFO: Session 10416 Tunnel Handshake Failed

また、Wireshark で Tunnel サーバの通信をキャプチャすることでも、サポートされていない証明書であることがわかります。

 

証明書で認証が有効になっていることを確認する方法

証明書で認証が有効になっていることを確認するには、サーバ上で所定のトンネル ポートを指定して次の openssl コマンドを実行し、実行結果の「Certificate purposes」セクションに含まれる「SSL client」と「SSL server」の値を調べてください。

openssl s_client -connect localhost:ポート | openssl x509 -noout -purpose

1.png

または、証明書の詳細プロパティを表示し、拡張キー使用法にクライアント認証とサーバ認証の両方が含まれているかどうかを調べることで確認することもできます。

2.png

Other Languages: English

免責事項:これは英文の記事「Client and Server Authentication enablement required for Tunnel SSL Certificate」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.