SoftEther VPN Clientは3階層のSSL証明書を認識しない

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
chica0111
Posts: 4
Joined: Sat Aug 24, 2019 5:46 am

SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by chica0111 » Sat Aug 24, 2019 5:57 am

VPNサーバーの証明書にRapidSSLを使用しています。

RapidSSLではルート証明書の「DigiCert Global Root CA」と中間証明書の「RapidSSL RSA CA 2018」が
サーバー証明書の前に入る形になるのですが、SoftEther VPN Clientの信頼する証明書機関の証明書に
ルート証明書を入れても認証エラーが出てしまいます。
なお、中間証明書を入れれば問題無く認証されます。

また、openssl s_client -connect サーバー名 -showcertsのコマンドでは順番通りに設置されていることは確認してあります。

cedar
Site Admin
Posts: 1205
Joined: Sat Mar 09, 2013 5:37 am

Re: SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by cedar » Mon Aug 26, 2019 10:04 am

中間証明書は chain_certs に設置されているでしょうか?
https://ja.softether.org/4-docs/3-kb/VPNFAQ026

chica0111
Posts: 4
Joined: Sat Aug 24, 2019 5:46 am

Re: SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by chica0111 » Mon Aug 26, 2019 10:32 am

cedarさん

中間証明書についてですが、中間証明書もルート証明書も登録してある状態になります。

OpenSSLのほか、証明書機関のチェックサイトではすべての証明書がチェーンされているのも確認してあります。

cedar
Site Admin
Posts: 1205
Joined: Sat Mar 09, 2013 5:37 am

Re: SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by cedar » Mon Aug 26, 2019 10:55 am

中間証明書とルート証明書は設定すべき場所が違います。
正しい場所に設定されているか確認してみてください。

chica0111
Posts: 4
Joined: Sat Aug 24, 2019 5:46 am

Re: SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by chica0111 » Mon Aug 26, 2019 11:09 am

cedarさん

申し訳ございません。
それぞれの場所を教えていただくことは可能でしょうか。

cedar
Site Admin
Posts: 1205
Joined: Sat Mar 09, 2013 5:37 am

Re: SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by cedar » Mon Aug 26, 2019 12:05 pm

ルート証明書は VPN クライアントの信頼する認証局に設定します。
https://ja.softether.org/4-docs/1-manua ... C.E8.A8.BC

中間証明書はサーバー側の chain_certs フォルダに置きます。
https://ja.softether.org/4-docs/3-kb/VPNFAQ026

サーバー証明書は、暗号化と通信関係の設定の項目に設定します。
https://ja.softether.org/4-docs/1-manua ... E.E6.9B.B8

chica0111
Posts: 4
Joined: Sat Aug 24, 2019 5:46 am

Re: SoftEther VPN Clientは3階層のSSL証明書を認識しない

Post by chica0111 » Mon Aug 26, 2019 8:06 pm

cedarさん

ルート証明書を置かないパターンも試しております。
(通常のブラウザとWebサーバーではルート証明書は置かないため)
どうしてもクライアント側が認識しないため、ルート証明書も設置いたしました。

https://www.vpnusers.com/viewtopic.php?t=3555
過去の投稿に全く同じ状態の方を見かけました。

この際にサポートしていないとなっていましたので、仕様と認識いたしました。

この度は大変お手数おかけいたしました。

よろしくお願いいたします。

Post Reply