SSLサーバー証明書が更新未完了だと!?

SSL証明書が更新できない

結論 wwwのCNAMEの設定が抜けていました。

httpsできないってこと?

利用中の下記SSLサーバー証明書に関し、当サポートで有効期限の延長をするための更新作業を行いましたが、
正常に完了することができませんでした,と連絡が来ました。

SSL証明書が更新されないってことは、https:// で表示できなくなるということですかね。それはやばい。

レンタルサーバはWPX SPEEDと言うところで契約しています。そこでWebサイトの通信を暗号化するために、WPXでのSSLを使っています。もう ngy.bizのサイトも10年くらい使っていますが、この連絡が来たのは初めてです。

最近なにか変更したかなあと思うと、しましたね。GmailのPOP終了で、GoogleWorkspaceにしてます。その時にDNSの設定やセキュリティ設定は変更しました。そのせいかな?

なんでだ?と思いながら調べてみました。もちろんAIで。

wpxサーバで SSL証明書の更新がエラーになります 対策を教えてください

以下の3つが指摘されました。他社管理のネームサーバ(ムームードメイン)を使っていますが、そのせいなのでしょうか?

最も多い原因:ネームサーバーの設定

SSLの更新(特に無料のLet’s Encrypt)は、外部の認証サーバーがあなたのドメインにアクセスして「本物かどうか」を確認します。

他社管理のネームサーバーを使っていませんか?
ドメインを他社(お名前.comやムームードメインなど)で管理し、ネームサーバーをwpx以外に設定している場合、自動更新に失敗することがあります。

対策: ドメイン側のDNS設定で、wpx指定のネームサーバー(例:ns1.wpx.ne.jp〜)が正しく設定されているか確認してください。

Webサイトの制限設定(.htaccessなど)

認証作業は特定のURL(.well-known/acme-challenge/)にアクセスして行われます。ここへのアクセスを拒否しているとエラーになります。

    海外IPアクセスの制限: wpxの管理パネルで「国外IPアクセス制限」が強すぎると、認証サーバー(海外)を弾いてしまうことがあります。

    Basic認証: サイト全体にパスワード制限をかけている場合、認証サーバーが中に入れません。

    対策: 一時的に国外IPアクセス制限をOFFにするか、.htaccessで認証用ディレクトリを例外設定してください。

    Aレコード(IPアドレス)の不一致

    最近サーバーの移転やプラン変更をしませんでしたか?

      内容: ドメインが指し示しているIPアドレスが、現在利用しているwpxサーバーのIPアドレスと異なると更新できません。

      対策: サーバー管理パネルに表示されている「IPアドレス」と、ドメインのDNS設定が一致しているか確認してください。

      WAF(Webアプリケーションファイアウォール)
      wpx標準のWAF機能が、更新プロセスを「攻撃」と誤検知してブロックするケースが稀にあります。

      他社管理のネームサーバを使っています。wpxのネームサーバでは細かい設定ができないため。

      と回答するとさらいに追加でお答えが。

      Aレコードが間違ってたら、流石に今までWeb開いてないでしょう。認証用ディレクトリ。。。よくわからない。

      CNAME!?設定してないかも。

      Aレコード(IPアドレス)の確認

      外部ネームサーバー側で、ドメインが正しくwpxサーバーを向いているか再確認してください。

      • 確認内容: wpx管理パネルの「サーバー情報」にある「IPアドレス」が、外部ネームサーバーのAレコードに正確に登録されていますか?
      • 注意点: www あり・なしの両方のレコードが正しいIPを向いている必要があります。

      認証用ディレクトリのアクセス許可(最重要)

      無料SSL(Let’s Encrypt等)の更新時、認証サーバーは以下のパスにアクセスします。 http://あなたのドメイン/.well-known/acme-challenge/

      外部ネームサーバーを利用していても、このURLへのアクセスがwpxサーバーに到達すれば更新は可能です。しかし、以下の設定が邪魔をしているケースが多いです。

      • リダイレクト設定: http から https への常時SSL化(リダイレクト)を .htaccess で強力に設定している場合、認証がループして失敗することがあります。
      • 対策: 更新時のみ、一時的に .htaccess のリダイレクト設定をコメントアウトしてみてください。

      CNAMEレジストリによる認証(wpXシン・レンタルサーバー等の場合)

      もしwpXの新しい基盤(シン・レンタルサーバーなど)をお使いで、独自のDNSレコードを追加できる環境であれば、CNAMEによる認証が必要な場合があります。

      • wpxの管理パネルでSSL更新エラーの詳細を確認した際、「以下のCNAMEレコードを追加してください」という指定が出ていませんか?
      • 出ている場合は、その値を外部ネームサーバー側にコピー&ペーストして登録する必要があります。

      wwwのCNAMEが無いとなぜSSL証明書の更新は失敗するのですか?

      SSL証明書の更新に www のCNAME(またはAレコード)が必要な理由は、多くのサーバー設定において「ドメイン名(example.com)」と「www付き(www.example.com)」の両方を1枚の証明書でカバーする設定になっているからです。

      うーん、よくわからないですが、 www の CNAMEを設定したらSSLの証明書が更新できました。めでたしめでたし。

      こういったトラブル解決の時のAIはホント頼りになりますね。

      そんなところで

      PVアクセスランキング にほんブログ村

      セキュリティ

      Posted by tomoyamurakami