対処法：PostmanでUnable to Verify First Certificateエラーを

Postmanは、全世界でも非常に汎用されているAPIテスト用のツールとして、それを使ってAPIをテストする際、「Unable to Verify First Certificate」というエラーが発生する場合、どうしたらいいですか？本文では、PostmanでUnable to Verify First Certificateの対処法を紹介して、APIテストのプロセスをよりスムーズにすることができるのでしょう。

Postmanについて

Postmanは、API（Application Programming Interface）開発とテストのための人気のあるツールです。Postmanを使用すると、開発者はHTTPリクエストを作成し、APIエンドポイントに送信することができるので、APIの動作をテストしたり、リクエストとレスポンスのデータを確認したりできます。

初心者向け：Postmanの基本的な使い方を

Postmanは、APIテストなどを行うための定番のツールになります。API戦略を実施する場合は、Postmanを利用することで、その効率性を大幅に向上できます。そこで、本文では、基本的なPostmanの使い方を皆さんに紹介して、Postmanを全く使ったことがないユーザーでも、本文の内容を参照して、Postmanを使いこなすことができると思います。

Apidogブログ - Apiに関する先端知識を取得するshimizu chioka

また、Postmanは、機能豊富なインターフェースを提供し、リクエストの作成や編集、ヘッダーの管理、パラメータの設定、レスポンスの確認などを行うことができます。

APIでの証明書の利用について

APIでの証明書は、主にAPIサーバーとクライアントの間の通信を安全に行うために使用されます。よく使われる証明書としては、サーバー証明書とクライアント証明書といった２つのものがあります。証明書は、APIの通信を安全に行う上で重要な役割を果たしています。適切な証明書を利用することで、盗聴や通信内容の改ざんなどの脅威を防ぐことができます。

証明書のコンポーネント

APIでの証明書には、以下のようなコンポーネントが含まれています。これらのコンポーネントを適切に設定することで、APIサーバーやクライアントの信頼性を確保し、安全な通信を行うことができます。

1. バージョン
   証明書のバージョンを示します。通常は3(X.509 v3)が使用されます。
2. シリアル番号
   証明書を一意に識別するための番号です。
3. 発行者(Issuer)
   証明書を発行した認証局(CA)の識別情報が含まれています。
4. 有効期間(Validity)
   証明書の有効期間の開始日と終了日が記載されています。
5. 所有者(Subject)
   証明書の所有者の識別情報が含まれています。通常はドメイン名やホスト名が記載されます。
6. 公開鍵(Public Key)
   所有者の公開鍵の値と、使用されている公開鍵アルゴリズム(RSA、ECDSAなど)が含まれています。
7. 署名アルゴリズム
   証明書にデジタル署名を施すのに使用された暗号アルゴリズムが記載されています。
8. 拡張子(Extensions)
   追加的な情報を格納するためのフィールドで、次のようなものが含まれる可能性があります。
   • キー使用法(Key Usage)
     -拡張キー使用法(Extended Key Usage)
   • サブジェクト代替名(Subject Alternative Names)
   • CRLディストリビューションポイント(CRL Distribution Points)
9. デジタル署名(Digital Signature)
   発行者CAによって付与されたデジタル署名の値が含まれています。

APIでの証明書の仕組み

APIでの証明書の仕組みは、公開鍵暗号方式とデジタル署名の技術を組み合わせたものです。具体的な流れは以下の通りです。

1. 証明書の発行
   • APIサーバーは、自身の公開鍵と識別情報(ドメイン名など)を認証局(CA)に送信します。
   • CAは、APIサーバーの情報を確認し、自身の秘密鍵を使ってデジタル署名を施し、サーバー証明書を発行します。
2. サーバー証明書のインストール
   • 発行されたサーバー証明書は、APIサーバーにインストールされます。
3. TLS/SSL接続時の証明書交換
   • クライアントがAPIサーバーに接続すると、サーバーは自身の証明書をクライアントに送信します。
   • クライアントは、事前にインストールされているCAの公開鍵を使って、サーバー証明書の署名を検証します。
   • 署名が正しければ、サーバーの公開鍵が信頼できると判断されます。
4. 安全な通信チャネルの確立
   • クライアントは、サーバーの公開鍵を使って安全な通信チャネル(SSL/TLS)を確立します。
   • このチャネルを介して送受信されるデータは、サーバーの公開鍵で暗号化されます。
5. データの復号
   • 暗号化されたデータは、APIサーバー側でサーバーの秘密鍵を使って復号化されます。
6. 相互認証(オプション)
   • サーバー側が要求した場合、クライアントも自身の証明書を提示する必要があります。
   • サーバーはクライアント証明書の署名を検証し、クライアントの信頼性を確認します。

このように、APIでの証明書は、サーバーとクライアントの実在性と正当性を保証し、安全な通信チャネルを確立する仕組みとして機能しています。デジタル署名によりデータの改ざんを防ぎ、公開鍵暗号化によりデータの機密性を確保することができます。

PostmanでUnable to Verify First Certificateエラー

ということで、PostmanでAPIをテストする際、証明書は通信のセキュリティを確保する上で非常に重要な役割を果たしています。PostmanはデフォルトでWebブラウザ同様の厳格な証明書検証を行うため、証明書の設定が不適切であればエラーになり、セキュアなAPIテストが行えません。このため、APIテスト時に証明書の役割を理解し、適切に設定することが重要になります。

Unable to Verify First Certificateエラーの原因

PostmanでAPIをテストする際に、Unable to Verify First Certificateエラーが発生する主な原因は以下の通りです。

1. 自己署名証明書の使用
   APIサーバーが自己署名した証明書を使用している場合、Postmanはデフォルトではその証明書を信頼しません。自己署名証明書は信頼された認証機関(CA)によって発行されていないためです。
2. 証明書の有効期限切れ
   APIサーバーが提示する証明書の有効期限が切れている場合、Postmanはその証明書を信頼できないためエラーになります。
3. ホスト名のミスマッチ
   証明書のCommon Name(CN)やSubject Alternative Name(SAN)フィールドに記載されたホスト名が、実際にアクセスしようとしているAPIサーバーのホスト名と一致しない場合にエラーが発生します。
4. 中間証明書の不足
   APIサーバーが提示する証明書チェーンに、Postmanが信頼する認証機関の中間証明書が含まれていない場合、証明書チェーンが不完全となりエラーになります。
5. Postmanのプロキシ設定
   Postmanのプロキシ設定がAPIサーバーとの通信を妨げている可能性があります。

PostmanはデフォルトでWebブラウザと同様の厳格な証明書検証を行うため、APIサーバー側の証明書設定が適切でない場合にこのエラーが発生しやすくなります。

PostmanでUnable to Verify First Certificateエラーのクイックフィックス

上記の原因によって、PostmanでUnable to Verify First Certificateエラーが発生する場合、以下の対処方法があると考えられます。

• 自己署名証明書の場合は、Postmanでその証明書を明示的に信頼するよう設定する
• 有効期限切れの証明書を更新する
• APIサーバーの証明書設定(CNやSAN)を適切に行う
• 中間証明書をインストールする
• Postmanのプロキシ設定を確認する

もし、これらの設定を見直しても、依然としてエラーを解消することができない場合、次の対処法に移りましょう。

PostmanでUnable to Verify First Certificateエラーの発生時の対処法

どうしてもPostmanでのUnable to Verify First Certificateエラーを解消できず、APIテストプロセスを先に進めない場合は、Postmanで「SSL Certificate Verification」機能をオフにすることがおすすめです。

ステップ⒈Postmanを開き、設定アイコンをクリックして、Postmanの設定メニューを開きます。

ステップ⒉Postmanの設定画面で、「General」→「SSL Certificate Verification」の順に、SSL Certificate Verification機能をスイッチオフすることができます。

以上のように設定すると、Postmanは接続を検証しないようになりますので、APIを通常のようにテストしたりすることができるようなります。

Apidogでより便利に証明書を設定可能！

Apidogは、APIの設計、ドキュメンテーション、テスト、モックサーバーにも完璧に対応できる総括的なAPI管理ツールとして、Apidogを利用することで、APIの証明書を便利に管理することができます。API証明書の利用を有効にしたり、無効にしたりすることが簡単に定義されますし、ドメイン毎にSSL証明書を個別に設定することが可能なので、非常に便利なツールになります。

APIテスト中に、SSL証明書の検証を簡単に無効か有効に簡単設定

Apidogでは、APIテスト実行時にSSL証明書の検証を無効にするかどうかを簡単に切り替えられます。自己署名証明書を使用しているAPIの場合はこの機能が便利です。検証を無効にすれば、セキュリティ警告が表示されずにテストができます。

証明書管理で便利に追加済みの証明書を管理

Apidogには証明書管理の機能があり、信頼する認証機関(CA)の証明書をアップロードして一元管理できます。アップロードした証明書は、API定義でSSLを有効にした際に自動的に適用されます。

この画面から、追加済みのCA証明書を確認・削除したり、新しい証明書をアップロードしたりできます。複数のAPIで同じ証明書を使い回す場合に非常に便利です。

証明書の詳細の定義や変更も便利

また、Apidogでは使用する証明書があれば、それを細かく設定できます。

まとめ

Postmanは非常に便利なAPIテストツールですが、Unable to Verify First Certificateエラーが発生すると、APIテストが進められなくなる可能性があります。本文では、この問題の原因と対処法について詳しく解説しました。

一方、Apidogを利用することで、APIの証明書をより便利に管理できます。APIテスト実行時のSSL証明書検証を簡単にオン/オフできるほか、信頼する認証機関の証明書を一元管理し、API定義で自動的に適用することができます。また、使用する証明書の詳細設定も行えるため、APIテストをよりスムーズに進めることができます。

APIのセキュリティを確保するために証明書は不可欠ですが、Postmanでエラーが発生した際の適切な対処と、Apidogのような便利なツールの活用により、APIテストのプロセスを円滑に進めることが可能になります。