お知らせ

(更新)Red Hat Enteprise Linux 5.8/6.2でhttpdが停止する事象について


平素よりNTTコミュニケーションズ Enterprise Cloud1.0(以下ECL1.0)をご利用いただき誠にありがとうございます。
ECL1.0にて提供中のRed Hat Enterprise Linux(以下RHEL)にて下記の事象が発生するお問合せを頂いております。該当するお客さまは、大変お手数をかけますが、対処方法に記載する対応をお願いします。

[2017/3/3更新箇所] 

本事象対処済みのRHEL6.2パブリックテンプレート提供開始に伴う修正

RHEL 6.5/6.7、CentOS 6.5の証明書有効期限の記載

その他補足情報を追記

 

[2017/1/6更新箇所]

対象の補足説明を追記

事象の概要

2016年12月26日以降、RHEL上のhttpdが停止または正常起動しない場合がある。

確認方法

該当している場合は、/var/log/httpd/error_logに以下のようなエラーメッセージが表示されます。
[error] Certificate not verified: ‘Server-Cert’
[error] SSL Library Error: -8181 Certificate has expired
[error] Unable to verify certificate ‘Server-Cert’. Add “NSSEnforceValidCerts off” to nss.conf so the server can start until the problem can be resolved.

対象

ECL1.0のOSライセンスで提供する2017年2月27日以前のRHEL5.8/6.2の仮想サーバーテンプレートを利用し、仮想サーバーを作成された場合
(これらを元にしたプライベートカタログ利用のテンプレートや、お客さま作業によるマイナーバージョンアップ実施後(6.2 -> 6.3等)の仮想サーバーも該当します。)

 

下記ECL1.0の仮想サーバーテンプレートについては当該事象の対象外となります。
– 2017年2月28以降に提供されたRHEL6.2テンプレート※
– RHEL7.1
– Ubuntu 14.04

※ RHEL6.2の新テンプレート名(数字のみ変更)
2017年2月27以前:115 red hat enterprise linux 6.2 64bit keytype jp, 115 red hat enterprise linux 6.2 64bit keytype us
2017年2月28以降:116 red hat enterprise linux 6.2 64bit keytype jp, 116 red hat enterprise linux 6.2 64bit keytype us

 

原因

mod_nss(Network Security Servicesを利用したApache Webサーバー向け暗号化モジュール)の証明書有効期限が終了したため。

対処方法

Network Security Servicesをご利用していないお客さまについては、ゲストOSにて以下の設定をお願いします。
/etc/httpd/conf.d/nss.conf内の記述に「NSSEnforceValidCerts off」を追記してください。

参考 証明書有効期限の確認方法

以下のコマンドで確認できます。

# certutil -L -d /etc/httpd/alias -n Server-Cert
(中略)
Not Before: Tue Dec 15 06:23:34 2015
Not After : Sun Dec 15 06:23:34 2019 (有効期限)

 

注意事項

下記テンプレートの自己証明書についても有効期限が設定されております。現在ご利用中のお客様は上記対処方法にて、予め設定をいただくことを推奨します。
– RHEL 6.5: 2020/01/14
– RHEL 6.7: 2019/12/19
– Cent OS 6.5: 2020/05/13

その他

現在提供中のパブリックテンプレートにおいて、今回の自己証明書以外の初期設定で有効期限が設定されているものはありません。