お知らせ

Red Hat Enterprise Linux 5.8/6.2でhttpdが停止する事象について


平素よりNTTコミュニケーションズ Enterprise Cloud1.0(以下ECL1.0)をご利用いただき誠にありがとうございます。
ECL1.0にて提供中のRed Hat Enterprise Linux(以下RHEL)にて下記の事象が発生するお問合せを頂いております。該当するお客さまは、大変お手数をかけますが、対処方法に記載する対応をお願いします。

[2017/1/6更新箇所]

対象の補足説明を追記

事象の概要

2016年12月26日以降、RHEL上のhttpdが停止または正常起動しない場合がある。

 

確認方法

該当している場合は、/var/log/httpd/error_logに以下のようなエラーメッセージが表示されます。
[error] Certificate not verified: ‘Server-Cert’
[error] SSL Library Error: -8181 Certificate has expired
[error] Unable to verify certificate ‘Server-Cert’. Add “NSSEnforceValidCerts off” to nss.conf so the server can start until the problem can be resolved.

 

対象

ECL1.0のOSライセンスで提供するRHEL5.8/6.2の仮想サーバーテンプレートを利用し、仮想サーバーを作成された場合
(これらを元にしたプライベートカタログ利用のテンプレートや、お客さま作業によるマイナーバージョンアップ実施後(6.2 -> 6.3等)の仮想サーバーも該当します。)

原因

mod_nss(Network Security Servicesを利用したApache Webサーバー向け暗号化モジュール)の証明書有効期限が終了したため。

対処方法

Network Security Servicesをご利用していないお客さまについては、ゲストOSにて以下の設定をお願いします。
/etc/httpd/conf.d/nss.conf内の記述に「NSSEnforceValidCerts off」を追記してください。

 

参考 証明書有効期限の確認方法

以下のコマンドで確認できます。

# certutil -L -d /etc/httpd/alias -n Server-Cert
(中略)
Not Before: Tue Dec 15 06:23:34 2015
Not After : Sun Dec 15 06:23:34 2019 (有効期限)