別館「S3日記」: TOMCATでSSLの問題

散々苦労してきた、グループウェアAipoの暗号化通信対応ですが、思わぬ結論に達しました。　昨晩も、かなり遅い時間まで作業したのですが、その結果は以下のようなものでした。　結論から言うと、サーバー証明書がOpenSSL用とは別に必要と言う事のようです。

JREに付属のkeytoolで自己署名証明書（オレオレ証明書）を作るとOK。
OpenSSLで証明書要求を作成して発行された証明書は、秘密鍵として扱われないのでNG。
従って、Apacheで使っている証明書は使えない。

自分だけで使うならオレオレ証明書でも構わないのだが、売り物にしようとするとオレオレ証明書は拙いので、Apache用とは別にサーバー証明書を購入しなければならず割高になる。　う〜ん...　機能的には良いのだが、せっかくの低コストが活かされないなぁ。　サーバー証明書は最低でも4万円弱かかるので、他のグループウェアを使うのよりも割高になってしまう。

その後、ある証明書発行元のテスト証明書を使って試行錯誤していたのだが、keytoolで証明書要求を作成してやっても巧くいかなかった。　しかし、ググっても同じようなエラーの情報はなく、途方に暮れていたところ...

JREのバージョンを上げたらOKとなった。　もともとAipoに入っていたJREとバージョン（タイムスタンプから推測）を合わせていたのだが、それが仇となったようだ。　最新版に入れ替えたら何の問題もなく使えるようになった。　これでAipoの方で不具合が発生しなければ、問題なくウチとしてサポートできそうだ。（低コストのコンセプトは崩れてしまうが...）

コメントを投稿