Application Gateway での相互認証エラーのトラブルシューティング

[アーティクル]
06/01/2023

Application Gateway を使用する場合の相互認証での問題をトラブルシューティングする方法を説明します。

概要

Application Gateway で相互認証を構成した後、相互認証を使用しようとすると、複数のエラーが表示される場合があります。エラーの一般的な原因には、次のようなものがあります。

ルート CA 証明書のない証明書または証明書チェーンをアップロードした
複数のルート CA 証明書がある証明書チェーンをアップロードした
CA 証明書がないリーフ証明書のみを含む証明書チェーンをアップロードした
発行者 DN の不一致による検証エラー

ここでは、発生する可能性のあるさまざまなシナリオと、それらのシナリオをトラブルシューティングする方法について説明します。その後、エラーコードを示し、相互認証によって発生する可能性がある特定のエラーコードの一般的な原因を説明します。クライアント証明書認証に失敗すると、すべて HTTP 400 エラーコードが発生します。

シナリオのトラブルシューティング - 構成の問題

相互認証を構成しようとするときに直面する可能性がある、いくつかのシナリオがあります。ここでは、よくある落とし穴のいくつかをトラブルシューティングする方法について説明します。

自己署名証明書

問題

アップロードしたクライアント証明書は自己署名証明書であり、エラーコード ApplicationGatewayTrustedClientCertificateDoesNotContainAnyCACertificate が生成されます。

解決策

使用している自己署名証明書に BasicConstraintsOid = "2.5.29.19" という拡張機能があることを再確認します。これは、サブジェクトが CA として機能できることを示します。これにより、使用される証明書が CA 証明書であることになります。自己署名クライアント証明書を生成する方法の詳細については、信頼されたクライアント証明書に関するページを参照してください。

シナリオのトラブルシューティング - 接続の問題

問題なく相互認証を構成できても、アプリケーションゲートウェイに要求を送信するときに問題が発生する可能性があります。以下のセクションでは、いくつかの一般的な問題と解決策について説明します。 sslClientVerify プロパティは、アプリケーションゲートウェイのアクセスログで確認できます。

SslClientVerify が NONE

問題

アクセスログに、sslClientVerify プロパティが "NONE" と表示されています。

解決策

これは、クライアントが Application Gateway に要求を送信するときにクライアント証明書を送信しない場合に表示されます。これは、Application Gateway に要求を送信しているクライアントが、クライアント証明書を使用するように正しく構成されていない場合に発生することがあります。 Application Gateway でクライアント認証の設定が想定どおりに動作しているかどうかを確認する方法の 1 つは、次の OpenSSL コマンドを使用することです。

openssl s_client -connect <hostname:port> -cert <path-to-certificate> -key <client-private-key-file>

-cert フラグはリーフ証明書であり、-key フラグはクライアントの秘密キーファイルです。

OpenSSL の s_client コマンドの使用方法の詳細については、マニュアルページを参照してください。

SslClientVerify が FAILED

問題

アクセスログに、sslClientVerify プロパティが "FAILED" と表示されています。

解決策

アクセスログ内のエラーには、さまざまな原因が考えられます。エラーの一般的な原因の一覧を次に示します。

発行者証明書を取得できない: クライアント証明書の発行者証明書が見つかりませんでした。これは通常、信頼されたクライアント CA 証明書チェーンが Application Gateway で完全ではないことを意味します。 Application Gateway にアップロードされた、信頼されたクライアント CA 証明書チェーンが完全であることを確認してください。
ローカル発行者証明書を取得できない: 発行者証明書を取得できない場合と同様に、クライアント証明書の発行者証明書が見つかりませんでした。これは通常、信頼されたクライアント CA 証明書チェーンが Application Gateway で完全ではないことを意味します。 Application Gateway にアップロードされた、信頼されたクライアント CA 証明書チェーンが完全であることを確認してください。
最初の証明書を確認できない: クライアント証明書を確認できません。このエラーは、クライアントがリーフ証明書のみを提示し、その発行者が信頼されていない場合に限って発生します。 Application Gateway にアップロードされた、信頼されたクライアント CA 証明書チェーンが完全であることを確認してください。
クライアント証明書の発行者を確認できない: このエラーは、構成 VerifyClientCertIssuerDN が true に設定されている場合に発生します。これは通常、クライアント証明書の発行者 DN が、顧客によってアップロードされた信頼されたクライアント CA 証明書チェーンから抽出された ClientCertificateIssuerDN と一致しない場合に発生します。 Application Gateway による ClientCertificateIssuerDN の抽出方法の詳細については、Application Gateway による発行者 DN の抽出に関するセクションを参照してください。ベストプラクティスとして、ファイルごとに 1 つの証明書チェーンを Application Gateway にアップロードするようにしてください。
サポートされていない証明書の目的: クライアント認証で、クライアント証明書の拡張キー使用法 (1.3.6.1.5.5.7.3.2) が指定されていることを確認します。クライアント認証の拡張キー使用法とオブジェクト識別子の定義の詳細については、 RFC 3280 と RFC 5280 を参照してください。

信頼されたクライアント CA 証明書チェーン全体を抽出して Application Gateway にアップロードする方法の詳細については、信頼されたクライアント CA 証明書チェーンの抽出方法に関するページを参照してください。

エラーコードのトラブルシューティング

次のいずれかのエラーコードが表示されている場合は、直面している可能性のある問題を解決するために推奨される解決策がいくつかあります。

エラーコード: ApplicationGatewayTrustedClientCertificateMustSpecifyData

原因

見つからない証明書データがあります。アップロードされた証明書が、証明書データを含まない空のファイルである可能性があります。

解決策

アップロードした証明書ファイルに不足しているデータがないことを確認します。

エラーコード: ApplicationGatewayTrustedClientCertificateMustNotHavePrivateKey

原因

証明書チェーンに秘密キーがあります。証明書チェーンに秘密キーを含めることはできません。

解決策

アップロードした証明書チェーンを再確認し、チェーンの一部である秘密キーを削除します。秘密キーを含まないチェーンを再アップロードします。

エラーコード: ApplicationGatewayTrustedClientCertificateInvalidData

原因

このエラーコードの背後には、2 つの原因が考えられます。

チェーンが正しい形式で提示されていないため、解析に失敗しました。 Application Gateway では、証明書チェーンが PEM 形式であることが想定されています。また、個々の証明書データが区切られていることも想定されています。
解析するものが見つかりませんでした。アップロードされたファイルには、区切り記号だけが含まれ、証明書データが含まれていない可能性があります。

解決策

このエラーの原因に応じて、2 つの解決策が考えられます。

アップロードした証明書チェーンが正しい形式 (PEM) であり、証明書データが正しく区切られていたことを確認します。
アップロードした証明書ファイルに、区切り記号だけでなく証明書データが含まれていることを確認します。

エラーコード: ApplicationGatewayTrustedClientCertificateDoesNotContainAnyCACertificate

原因

アップロードした証明書に、CA 証明書がないリーフ証明書だけが含まれていました。 CA 証明書とリーフ証明書を含む証明書チェーンをアップロードしても、リーフ証明書は無視されるだけなので問題ありませんが、証明書には CA が必要です。

解決策

アップロードした証明書チェーンにリーフ証明書以外のものが含まれていることを再確認します。 BasicConstraintsOid = "2.5.29.19" 拡張機能があり、サブジェクトが CA として機能できることを示している必要があります。

エラーコード: ApplicationGatewayOnlyOneRootCAAllowedInTrustedClientCertificate

原因

証明書チェーンに複数のルート CA 証明書が含まれています。"または"、ルート CA 証明書が含まれていません。

解決策

アップロードする証明書には、ルート CA 証明書が 1 つだけ含まれている必要があります (ただし、中間 CA 証明書は必要な数だけ含めることができます)。

次の方法で共有

Application Gateway での相互認証エラーのトラブルシューティング

概要

シナリオのトラブルシューティング - 構成の問題

自己署名証明書

問題

解決策

シナリオのトラブルシューティング - 接続の問題

SslClientVerify が NONE

問題

解決策

SslClientVerify が FAILED

問題

解決策

エラーコードのトラブルシューティング

エラーコード: ApplicationGatewayTrustedClientCertificateMustSpecifyData

原因

解決策

エラーコード: ApplicationGatewayTrustedClientCertificateMustNotHavePrivateKey

原因

解決策

エラーコード: ApplicationGatewayTrustedClientCertificateInvalidData

原因

解決策

エラーコード: ApplicationGatewayTrustedClientCertificateDoesNotContainAnyCACertificate

原因

解決策

エラーコード: ApplicationGatewayOnlyOneRootCAAllowedInTrustedClientCertificate

原因

解決策

フィードバック

その他のリソース

次の方法で共有

Application Gateway での相互認証エラーのトラブルシューティング

概要

シナリオのトラブルシューティング - 構成の問題

自己署名証明書

問題

解決策

シナリオのトラブルシューティング - 接続の問題

SslClientVerify が NONE

問題

解決策

SslClientVerify が FAILED

問題

解決策

エラー コードのトラブルシューティング

エラー コード: ApplicationGatewayTrustedClientCertificateMustSpecifyData

原因

解決策

エラー コード: ApplicationGatewayTrustedClientCertificateMustNotHavePrivateKey

原因

解決策

エラー コード: ApplicationGatewayTrustedClientCertificateInvalidData

原因

解決策

エラー コード: ApplicationGatewayTrustedClientCertificateDoesNotContainAnyCACertificate

原因

解決策

エラー コード: ApplicationGatewayOnlyOneRootCAAllowedInTrustedClientCertificate

原因

解決策

フィードバック

その他のリソース

エラーコードのトラブルシューティング

エラーコード: ApplicationGatewayTrustedClientCertificateMustSpecifyData

エラーコード: ApplicationGatewayTrustedClientCertificateMustNotHavePrivateKey

エラーコード: ApplicationGatewayTrustedClientCertificateInvalidData

エラーコード: ApplicationGatewayTrustedClientCertificateDoesNotContainAnyCACertificate

エラーコード: ApplicationGatewayOnlyOneRootCAAllowedInTrustedClientCertificate