Diagnosing SSL Issues
プラットフォームについて: Data Center のみ。 - This article only applies to Atlassian apps on the Data Center プラットフォーム。
この KB は Data Center バージョンの製品用に作成されています。Data Center 固有ではない機能の Data Center KB は、製品のサーバー バージョンでも動作する可能性はありますが、テストは行われていません。 Server* 製品のサポートは 2024 年 2 月 15 日に終了しました。Server 製品を実行している場合は、 アトラシアン Server サポート終了 のお知らせにアクセスして、移行オプションを確認してください。
*Fisheye および Crucible は除く
診断
Here are some troubleshooting tips if you are encountering SSL related issues.
When you enter "https://localhost:8443" in your browser, if you get a message such as "Cannot establish a connection to the server at localhost:8443", look for error messages in your logs/catalina.out log file. Here are some possible errors with explanations:
SSL + Apache + IE の問題
Some people have reported errors when uploading attachments over SSL using IE. This is due to an IE bug, and can be fixed in Apache by setting:
BrowserMatch ".MSIE." \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
Google 検索を行うとこれに関する多くの情報が得られます。
キーストアが見つからない
java.io.FileNotFoundException: /home/user/.keystore (No such file or directory)
これは、Tomcat がキーストアを見つけられなかったことを意味します。キーツール ユーティリティは、現在のユーザーのホーム ディレクトリに .keystore という名称のキーストアをファイルとして作成します。Unix / Linux ではホーム ディレクトリは多くの場合 /home/<username> です。Windows では多くの場合 C:\Documents And Settings\<UserName> です。
キーストアを作成したユーザーと同一のユーザー名で JIRA を実行していることを確認してください。キーストアを作成したユーザーとはユーザー名が異なる場合や、Jira を Windows サービスとして実行している場合は、conf/server.xml でキーストア ファイルの場所を指定する必要があります。コメントを解除した Connector タグに次の属性を追加します。
keystoreFile="<location of keystore file>"
If you can't find any keystore in your system, create a new one as per this documentation
間違ったパスワード
java.io.IOException: Keystore was tampered with, or password was incorrect
"changeit" 以外のパスワードが使われています。Tomcat のキー パスワードとキーストア パスワードの両方で "changeit" を使用するか、異なるパスワードを使用する場合は、前述のように Connector タグの keystorePass 属性にそれを指定する必要があります。
パスワードが一致しません
java.io.IOException: Cannot recover key
Tomcat のキーストアパスワードとキーパスワードに異なるパスワードが使われていることを意味します。この二つのパスワードは同一でなければなりません。
不正な証明書
javax.net.ssl.SSLException: No available certificate corresponds to the SSL cipher suites which are enabled.
キーストア内に複数の証明書がある場合、conf/server.xml 内の SSL Connector タグで指定がある場合を除き、Tomcat は最初に返された証明書を使用します。
次の例に示すように、コメントを解除した Connector タグに keyAlias 属性を追加し、関連するエイリアスを設定します。
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true" useBodyEncodingForURI="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/opt/local/.keystore"
keystorePass="removed"
keyAlias="tomcat"/>
Using JAVA 6 with JIRA 6.x
If all parameter were correctly set, and the SSLPoke test mention in the page Unable to Connect to SSL Services due to PKIX Path Building Failed sun.security.provider.certpath.SunCertPathBuilderException is also OK.
The following error message appeared in the outgoing authentication configuration screen for the application link:
Unable to retrieve the application's certificate: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching jira.test.com foundIf you're running JIRA 6 with JAVA 1.6, you might need to upgrade to JAVA 1.7. Please refer to the page Supported Platforms for JIRA 6.0.
この内容はお役に立ちましたか?