[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:30987] Re: how to setup mod_ssl?
>  Apacheã§SSL対応ã•ã›ã‚ˆã†ã¨libapache-mod-sslをインストールã—ãŸã®ã§
> ã™ãŒã€ã‚»ãƒƒãƒˆã‚¢ãƒƒãƒ—方法(証明書ã®ä½œã‚Šæ–¹ã‚„httpd.confã®è¨å®šæ–¹æ³•ï¼‰ãŒã‚
> ã‹ã‚Šã¾ã›ã‚“。
>
> file:///usr/doc/libapache-mod-ssl-doc/html/
>
> ã¯æƒ…å ±ãŒè†¨å¤§éŽãŽã¦ã€ä½•ã‚’ã©ã†ã™ã‚Œã°è‰¯ã„ã®ã‹ãŸã©ã‚Šç€ã‘ã¾ã›ã‚“(^.^;)。
> ã©ã“ã‹ã«ã€æ‰‹é †ã‚’ã¾ã¨ã‚ãŸã‚‚ã®ç‰ã¯ã‚ã‚Šã¾ã›ã‚“ã§ã—ょã†ã‹ï¼Ÿ
libapache-mod-ssl-doc/README.Debian.gzã«ã¾ã¨ã‚られã¦ã„るよã†ã§ã™ã€‚
以å‰ã€mod_sslã‚’è¨å®šã™ã‚‹ãŸã‚ã«è‡ªåˆ†ã§ç¿»è¨³ã—ãŸã‚‚ã®ã‚’添付ã—ã¾ã™ã€‚
----------------------------------------------------------------
MOD-SSLã®ç‚ºã®APACHEã®è¨å®šæ–¹æ³•
0.イントãƒãƒ€ã‚¯ã‚·ãƒ§ãƒ³
mod_sslã®ã¿ã‚’インストールã—ãŸã ã‘ã§ã¯ã€ãã®æ©Ÿèƒ½ã‚’動作ã•ã›ã‚‹ã®ã«ä¸å
分ã§ã‚る。ã“ã®ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã¯Apacheã«å¤šãã®ãƒ‡ã‚£ãƒ¬ã‚¯ãƒ†ã‚£ãƒ–ã‚’è¿½åŠ ã™ã‚‹ã—ã€
SSLã®æ©Ÿèƒ½ã‚’自動的ã«æœ‰åŠ¹ã«ã—ãŸã‚Šã€ç„¡åŠ¹ã«ã—ãŸã‚Šã™ã‚‹è¨å®šãƒ¦ãƒ¼ãƒ†ã‚£ãƒªãƒ†ã‚£
を書ãã“ã¨ã¯ã¨ã¦ã‚‚難ã—ã„。
ãã®ãŸã‚ã€ã“ã“ã«å¤ãã•ã„方法ー手動ーã§mod_sslã‚’è¨å®šã™ã‚‹æ–¹æ³•ã‚’記述ã™
る。
1.証明書
ã¾ãšæœ€åˆã«ã€ã‚ãªãŸã®ã‚µãƒ¼ãƒã®è¨¼æ˜Žæ›¸ã‚’æŒã¤ã“ã¨ãŒå¿…è¦ã§ã‚る。ã“ã®ã“ã¨ã«
付ã„ã¦ã®å¤šãã®ä¸€èˆ¬çš„ãªèª¬æ˜Žã¯ã€ä»¥ä¸‹ã®å ´æ‰€ã§å…¥æ‰‹å¯èƒ½ãª
mod-ssl Documentation ã®ä¸ã«è¦‹ä»˜ã‘ã‚‹ã“ã¨ãŒã“ã¨ãŒå‡ºæ¥ã‚‹ã€‚
http://localhost/doc/libapache-mod-ssl-doc/html/
テスト用ã®è¨¼æ˜Žæ›¸ã‚’作æˆã™ã‚‹ã«ã¯ã€æ¬¡ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’入力ã™ã‚‹(root ã§)
# mod-ssl-makecert
ã“ã‚Œã¯ã‚ãªãŸã«ã„ãã¤ã‹ã®è³ªå•ã‚’è¡Œã£ãŸå¾Œã€/etc/apache/ssl.*/server.*
ã®ä¸ã«ç§˜å¯†éµ(private key)ã€è¨¼æ˜Žæ›¸ã€ãã—ã¦è¨¼æ˜Žæ›¸ç½²åè¦æ±‚(CRL)を作æˆã™
る。
2.ã‚°ãƒãƒ¼ãƒãƒ«ãƒ»ã‚ªãƒ—ションã®è¿½åŠ
ã¾ãšã€ /etc/apache/httpd.confを編集ã™ã‚‹ã€‚"LoadModule"記述åを探ã—ã€
ãã®ãƒªã‚¹ãƒˆã®æœ€å¾Œã«æ¬¡ã®è¡Œã‚’付ã‘åŠ ãˆã‚‹ã€‚
LoadModule ssl_module /usr/lib/apache/1.3/mod_ssl.so
ã‚ãªãŸã¯ãŠãらãã€"setenvif"モジュールも有効ã«ã™ã‚‹å¿…è¦ãŒã‚る。ãã®å ´
所㯠LoadModule ã®ãƒªã‚¹ãƒˆã«ã‚ã‚‹(ãã‚Œã¯æ—¢ã«ã‚ã‚‹ã¯ãš)ã®ã§ã€ã‚³ãƒ¡ãƒ³ãƒˆã‚’外
ã—ã¦ã»ã—ã„。
次ã«ã€"Listen"ディレクティブをã•ãŒã—ã¦ã€ã‚‚ã—見付ã‹ã‚‰ãªã‘ã‚Œã°æ¬¡ã®è¡Œã‚’
è¿½åŠ ã™ã‚‹ã€‚
<IfModule mod_ssl.c>
Listen 80
Listen 443
</IfModule>
ã“ã‚Œã¯é€šå¸¸ã®ãƒãƒ¼ãƒˆ80番ã«åŠ ãˆã¦apacheã«443番ãƒãƒ¼ãƒˆã‚’作る。Httpsã¯443番
ãƒãƒ¼ãƒˆã‚’使用ã™ã‚‹ã‚ˆã†è¦æ±‚ã™ã‚‹ã€‚ <IfModule>...</IfModule>ã§ãƒ‡ã‚£ãƒ¬ã‚¯ãƒ†ã‚£
ブを囲むã“ã¨ã€ãã—ã¦ã€apacheã¯ãŸã¨ãˆmod_sslãŒå‰Šé™¤ã•ã‚Œã¦ã‚‚ã€ä½¿ç”¨ã™ã‚‹è¨
定ã¯ä¿æŒã™ã‚‹ã“ã¨ã«æ³¨æ„ã™ã‚‹ã€‚
次ã«ã€è¨å®šã®æœ€å¾Œã®ç®‡æ‰€ã®ã€ã¡ã‚‡ã†ã©<VirtualHost>セクションã®å‰ã«ã„ãã€
/usr/share/doc/libapache-mod-ssl-doc/mod-ssl.conf ã‹ã‚‰è¨å®šã®éƒ¨åˆ†ã‚’
挿入ã™ã‚‹ã€‚ã“ã‚Œã¯mod_sslã®ãŸã‚ã®ä¸€èˆ¬çš„ãªè¨å®šã§ã‚る。
3.ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã‚ªãƒ—ションã®è¿½åŠ
ãã‚Œãžã‚Œã®ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã«ã¯ã€è¨å®šã§ãる多ãã®ã‚ªãƒ—ションãŒã‚る。ã‚ãª
ãŸã¯SSLを有効ã«ã—ãŸã„ãã‚Œãžã‚Œã®ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã«ã€æ–°ã—ã„ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹
ãƒˆã‚’è¿½åŠ ã™ã‚‹å¿…è¦ãŒã‚る。ãれ㯠<VirtualHost host.domain.com:443> ã¨ã—
ã¦æŒ‡å®šã•ã‚Œã€SSLã®ã‚ªãƒ—ã‚·ãƒ§ãƒ³ã‚’è¿½åŠ ã™ã‚‹ã“ã¨ã§ã€é€šå¸¸ã®ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã®
複製ã¨ãªã‚‹ã€‚
ã‚‚ã—ã€ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆãŒç„¡ãã€ã—ã‹ã—ãŸã£ãŸä¸€ã¤ã ã‘ã®ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã‚µãƒ¼ãƒãª
らã€ã“ã®æ–°ã—ã„ãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆ<VirtualHost _default_:443> を呼ã¶ã¹ã
ã§ã‚る。
éžIPホスティング(name based virtual hosting:IPアドレスを消費ã—ãªã„ãƒ
ーãƒãƒ£ãƒ«ãƒ‰ãƒ¡ã‚¤ãƒ³)ã¯SSLを有効ã«ã—ãŸãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã§ã¯å‹•ã‹ãªã„ã®ã§ã€ã
ã‚Œãžã‚Œã®SSLãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã«ã¯å€‹åˆ¥ã®IPエイリアスをæŒã¤ã“ã¨ãŒå¿…è¦ã§ã‚
ã‚‹ã¨è¨€ã†ã“ã¨ã«æ³¨æ„ã™ã‚‹ã€‚
通常ã€ã‚ãªãŸã¯ã¡ã‚‡ã†ã©ã€æ¬¡ã®ã‚ˆã†ãªã‚ªãƒ—ションãŒå¿…è¦ã§ã‚る。
<VirtualHost newvhost.domain.org:443>
...DocumentRoot, Logfile, ErrorLog ã®ã‚ˆã†ãªé€šå¸¸ã®ãƒ‡ã‚£ãƒ¬ã‚¯ãƒ†ã‚£ãƒ–ã‚’ ...
<IfModule mod_ssl.c>
SSLEngine on
SSLCertificateFile /etc/apache/ssl.crt/server.crt
SSLCertificateKeyFile /etc/apache/ssl.key/server.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</IfModule>
</VirtualHost>
å…¨ã¦ã®è¨å®šå¯èƒ½ãªã‚ªãƒ—ションã¯ã€mod_sslã®ãƒžãƒ‹ãƒ¥ã‚¢ãƒ«ã‚’見ãªã•ã„。å分ã«æ³¨
釈ã•ã‚ŒãŸãƒãƒ¼ãƒãƒ£ãƒ«ãƒ›ã‚¹ãƒˆã®ä¾‹ãŒ /usr/share/doc/libapache-mod-ssl-doc/
sample-vhost.conf.gz ã«ã‚る。
4.APACHEã®ãƒªãƒãƒ¼ãƒ‰
/etc/init.d/apache stop;/etc/init.d/apache start㧠apache ã®åœæ¢ã¨
èµ·å‹•ã‚’è¡Œã„ãªã•ã„。/etc/init.d/apache reload ã¾ãŸã¯ restart を使用ã—ã¦
ã‚‚å‹•ã‹ãªã„。
ã‚‚ã—å…¨ã¦ãŒã†ã¾ãè¡Œã‘ã°ã€https://your.web.server/ ã§HTTPSãŒæœ‰åŠ¹ã«ãªã£ãŸ
ホストã«æŽ¥ç¶šã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã‚‹ã€‚
-------------------------------------------------------------------
以上ã§ã™ã€‚
-------------------------------
Sugiura Kazushi
kazushi@xxxxxxxxxxxxxx
-------------------------------