セキュア Apache Web サーバー
この節では、セキュア Apache Web サーバーのインストール手順について説明します。非セキュア Apache Web サーバーのインストール手順については、非セキュア Apache Web サーバーのインストールを参照してください。
mod_ssl を使用した Apache ソフトウェアのインストールと構成
次の手順を使用して、セキュア Apache Web サーバーをインストールします。非セキュア Apache Web サーバーのインストール手順については、非セキュア Apache Web サーバーのインストールを参照してください。
-
クラスタメンバー上でスーパーユーザーになります。
-
Apache ソフトウェアと mod_ssl をインストールします。
mod_ssl をインストールするには、Apache のインストールマニュアルか、http://www.modssl.org で説明されているインストール指示を参照してください。
-
httpd.conf 構成ファイルを更新します。
-
ServerName 命令を設定します。
-
BindAddress 命令を設定します (任意)。
-
ServerType、ServerRoot、DocumentRoot、ScriptAlias および LockFile 命令を設定します。
-
Port 命令を Port_list 標準リソースプロパティと同じ番号に設定します。詳細については、手順 4 を参照してください。
-
Apache ソフトウェアをプロキシサーバーとして実行する場合は、プロキシサーバーとして実行するための変更を行います。詳細は、Apache のマニュアルを参照してください。Apache ソフトウェアをプロキシサーバーとして実行する場合は、CacheRoot 設定で、クラスタファイルシステム上の場所を示す必要があります。
-
-
httpd.conf ファイル内のポート番号が、Port_list 標準リソースプロパティのポート番号と一致していることを確認します。
httpd.conf 構成ファイルを編集し、標準の Sun Cluster リソースプロパティのデフォルト (ポート 80) と一致するようにポート番号を変更できます。または、 Sun Cluster HA for Apache を構成するときに、httpd.conf ファイル内の設定と一致するように Port_list を設定できます。
-
すべての証明書と鍵をインストールします。
-
Bin_dir ディレクトリに、keypass という名前のファイルを作成します。所有者以外が、このファイルに対するアクセス権を持たないようにしてください。
# cd Bin_dir # touch keypass # chmod 700 keypass
-
暗号化したプライベートキーを使用する場合は、次の手順 a と手順 b を実行してください。
-
httpd.conf ファイルで SSLPassPhraseDialog 命令を検索し、それを次のように変更します。
# SSLPassPhraseDialog exec:/Bin_dir/keypass
SSLPassPhraseDialog 命令の詳細については、mod_ssl のマニュアルを参照してください。
-
keypass ファイルを編集して、このファイルがホストおよびポートに対応する暗号化キーのパスフレーズを表示するようにします。
このファイルは、引数として server:port algorithm で呼び出されます。正しいパラメータで呼び出されたときに、このファイルが、暗号化された各キーごとにパスフレーズを表示することを確認してください。
この後、 Web サーバーを手動で起動すると、パスフレーズについての問い合わせは表示されません。たとえば、ポート 8080 および 8888 で待機し、それぞれ RSA を使用して暗号化された秘密鍵を持つセキュア Web サーバーの場合、keypass ファイルは次のようになります。
# !/bin/ksh host=`echo $1 | cut -d: -f1` port=`echo $1 | cut -d: -f2` algorithm=$2 if [ "$host" = "button-1.eng.sun.com" -a "$algorithm" = "RSA" ]; then case "$port" in 8080) echo passphrase-for-8080;; 8888) echo passphrase-for-8888;; esac fi
注 –所有者以外に keypass ファイルの読み取り、書き込み、実行許可を付与しないでください。
-
-
Sun Cluster HA for Apache が Web サーバーを検証するたびにメッセージがロギングされるのを避けるため、httpd.conf ファイルで SSLLogLevel を warn (警告) に設定します。
SSLLogLevel warn
-
Apache 起動 / 停止スクリプトファイル (Bin_dir/apachect1) 内のパスを更新します。
Apache のデフォルトのパスを変更し、Apache のディレクトリ構造と一致させてください。
-
次のタスクを実行して構成の変更内容を確認します。
apache-ssl を使用した Apache ソフトウェアのインストールと構成
次の手順を使用して、セキュア Apache Web サーバーをインストールします。非セキュア Apache Web サーバーのインストール手順については、非セキュア Apache Web サーバーのインストールを参照してください。
-
クラスタメンバー上でスーパーユーザーになります。
-
Apache のインストールマニュアルで説明されているインストール手順を使用して、Apache ソフトウェアと apache-ssl をインストールします。
apache-ssl をインストールするには、Apache のインストールマニュアルか、http://www.apache-ssl.org で説明されているインストール指示を参照してください。
-
httpd.conf 構成ファイルを更新します。
-
ServerName 命令を設定します。
-
BindAddress 命令を設定します (任意)。
-
ServerType、ServerRoot、DocumentRoot、ScriptAlias および LockFile 命令を設定します。
-
Port 命令を Port_list 標準リソースプロパティと同じ番号に設定します。詳細については、手順 4 を参照してください。
-
Apache ソフトウェアをプロキシサーバーとして実行する場合は、プロキシサーバーとして実行するための変更を行います。詳細は、Apache のマニュアルを参照してください。Apache ソフトウェアをプロキシサーバーとして実行する場合は、CacheRoot 設定で、クラスタファイルシステム上の場所を示す必要があります。
-
-
httpd.conf ファイル内のポート番号が、Port_list 標準リソースプロパティのポート番号と一致していることを確認します。
httpd.conf 構成ファイルを編集し、標準の Sun Cluster リソースプロパティのデフォルト (ポート 80) と一致するようにポート番号を変更できます。または、 Sun Cluster HA for Apache を構成するときに、httpd.conf ファイル内の設定と一致するように Port_list を設定できます。
-
すべての証明書と鍵をインストールします。
-
すべての秘密鍵が暗号化されずに格納されることを確認してください。
この後、 Web サーバーを手動で起動すると、パスフレーズについての問い合わせは表示されません。
-
Apache 起動 / 停止スクリプトファイル (Bin_dir/httpsdct1) 内のパスを更新します。
Apache のデフォルトのパスを変更し、Apache のディレクトリ構造と一致させてください。
-
次のタスクを実行して構成の変更内容を確認します。
- © 2010, Oracle Corporation and/or its affiliates