1. Oracle HTTP Serverの管理
  2. Oracle HTTP Serverのモジュール・ディレクティブ

H Oracle HTTP Serverのモジュール・ディレクティブ

モジュールは、Oracle HTTP Serverの基本機能を拡張し、Oracle HTTP Serverとその他のOracle Fusion Middlewareコンポーネントとの統合をサポートします。Oracle HTTP Serverは、オラクル社が開発したモジュールまたは「プラグイン」とApacheやサード・パーティ開発のモジュールの両方を使用します。オラクル社が開発したモジュールには、Oracle HTTP Serverでサポートしている一連のディレクティブがあります。

この付録では、オラクル社が開発したモジュールで使用できるディレクティブについて説明します。

  • mod_wl_ohsモジュール
    Oracle HTTP Serverの主要機能であるmod_wl_ohsモジュールにより、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理できます。このモジュールは一般的にOracle WebLogic Serverプロキシ・プラグインと呼ばれます。
  • mod_certheadersモジュール
    mod_certheadersモジュールでは、2つのディレクティブ、つまりAddCertHeaderおよびSimulateHttpsを使用してリバース・プロキシを有効にします。
  • mod_ossl Module
    mod_osslモジュールは、Oracle HTTP Serverに対して厳密な暗号化を有効にします。これは、SSLCARevocationFileSSLCipherSuiteSSLEngineなどのディレクティブのセットを受け付けます。

mod_wl_ohsモジュール

Oracle HTTP Serverの主要機能であるmod_wl_ohsモジュールにより、Oracle HTTP ServerからOracle WebLogic Serverへのリクエストをプロキシ処理できます。このモジュールは一般的にOracle WebLogic Serverプロキシ・プラグインと呼ばれます。

mod_wl_ohsモジュールによって、Oracle WebLogic Serverが動的機能を必要とするリクエストを処理可能となり、Oracle HTTPサーバーのインストールが拡張されます。つまり、HTTPサーバーがHTMLページのような静的なページを処理する場合にはプラグインを使用するのが一般的ですが、Oracle WebLogic Serverでは、HTTP ServletsやJakarta Server Pages (JSP)のような動的なページを処理することになります。このモジュールのディレクティブの詳細は、『Oracle WebLogic Serverプロキシ・プラグインの使用』Web Serverプラグインのパラメータに関する項を参照してください。

親トピック: Oracle HTTP Serverのモジュール・ディレクティブ

mod_certheadersモジュール

mod_certheadersモジュールでは、2つのディレクティブ、つまりAddCertHeaderおよびSimulateHttpsを使用してリバース・プロキシを有効にします。

この項では、mod_certheadersディレクティブについて説明します。

親トピック: Oracle HTTP Serverのモジュール・ディレクティブ

AddCertHeaderディレクティブ

CGI環境変数に変換する必要があるヘッダーを指定します。これは、AddCertHeaderディレクティブを使用して実行できます。このディレクティブは単一の引数を取ります。この引数は、受信リクエストのHTTPヘッダーから移入する必要があるCGI環境変数です。たとえば、SSL_CLIENT_CERT CGI環境変数を移入します。

カテゴリ

構文

AddCertHeader environment_variable

AddCertHeader SSL_CLIENT_CERT

デフォルト

なし

親トピック: mod_certheadersモジュール

SimulateHttpsディレクティブ

mod_certheadersを使用すると、特定のリクエストがHTTP経由で受信された場合でも、HTTPS経由で受信されたかのようにそれらのリクエストを扱うように、Oracle HTTP Serverに指示することができます。これは、Oracle HTTP Serverがリバース・プロキシまたはロード・バランサのフロントエンドになっている場合に役立ちます。リバース・プロキシまたはロード・バランサは、SSLリクエストの終端点の機能を果たし、HTTPS経由でOracle HTTP Serverにリクエストを転送します。

カテゴリ

構文

SimulateHttps on|off

SimulateHttps on

デフォルト

off

親トピック: mod_certheadersモジュール

mod_osslモジュール

mod_osslモジュールにより、Oracle HTTP Serverに対する強力な暗号化が有効になります。これは、SSLCARevocationFileSSLCipherSuiteSSLEngineなどのディレクティブのセットを受け付けます。

Oracle HTTP Serverに対してSSLを構成するには、使用するmod_osslモジュールのディレクティブをssl.confファイルに入力します。

Apache Web Serverのmod_sslモジュールでサポートされるすべてのディレクティブの完全なリストは、Apacheのドキュメントを参照してください。すべてのSSLディレクティブを構成することは可能ですが、Oracle HTTP Server 14.1.2.0.0でテストおよびサポートされているのは次のmod_osslディレクティブのみです:

親トピック: Oracle HTTP Serverのモジュール・ディレクティブ

SSLCARevocationCheckディレクティブ

証明書失効リスト(CRL)チェックを有効にします。SSLCARevocationFileまたはSSLCARevocationPathの少なくとも1つを構成する必要があります。chain (推奨)に設定すると、CRLチェックはチェーン内のすべての証明書に適用されますが、leafに設定すると、チェックはエンドエンティティ証明書に制限されます。

カテゴリ
構文 SSLCARevocationCheck chain | leaf | none
SSLCARevocationCheck chain
デフォルト SSLCARevocationCheck none
コンテキスト サーバー構成、仮想ホスト

親トピック: mod_osslモジュール

SSLCARevocationFileディレクティブ

証明書を発行したCA(認証局)からの証明書失効リスト(CRL)をまとめるファイルを指定します。このリストは、クライアント認証に使用されます。このファイルは、PEMでエンコードされた様々なCRLファイルを優先順位の順に連結したものです。このディレクティブは、SSLCARevocationPathの代替または補助用に使用できます。

カテゴリ

構文

SSLCARevocationFile file_name

 

SSLCARevocationFile ${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/keystores/crl/ca_bundle.cr

デフォルト

なし

親トピック: mod_osslモジュール

SSLCARevocationPathディレクティブ

PEMでエンコードされている証明書失効リスト(CRL)が格納されるディレクトリを指定します。CRLは、証明書の発行元のCA(認証局)から届きます。CRLのいずれかに記載されている証明書を使用してクライアントが自身を認証しようとすると、証明書は取り消され、そのクライアントはサーバーに対して自身を認証できなくなります。

このディレクティブは、CRLのハッシュ値を含むディレクトリを指す必要があります。ハッシュを作成できるコマンドの詳細は、『Oracle Fusion Middlewareの管理』orapkiに関する項を参照してください。

カテゴリ

構文

SSLCARevocationPath path/to/CRL_directory/

 

SSLCARevocationPath ${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/keystores/crl

デフォルト

なし

親トピック: mod_osslモジュール

SSLCipherSuiteディレクティブ

クライアントがSSLハンドシェイク時に使用できるSSL暗号スイートを指定します。このディレクティブでは、カンマまたはコロンで区切られた暗号指定文字列を使用して暗号スイートを識別します。

SSLCipherSuiteには次の接頭辞を使用できます。

  • none: リストに暗号を追加します。

  • +: 一致する暗号をリスト内の現在の場所に移動します

  • -: リストから暗号を削除します(後で追加できます)。

  • !: リストから暗号を永続的に削除します。

タグは、暗号指定文字列を構成する接頭辞と結合されます。表H-1に、暗号スイートのタグを示します。

ノート:

Oracle HTTP Serverバージョン14.1.2.0.0の時点で、Rivest Cipher 4 (RC4)アルゴリズムおよびTriple Data Encryption Standard (3DES)アルゴリズムを使用する暗号スイートは、既知のセキュリティ脆弱性のためにサポートされていません。これらの暗号は、Oracle HTTP ServerのデフォルトのSSLポートのSSLCipherSuite構成から削除されます。Oracle HTTP ServerをEnterprise Manager Fusion Middleware ControlまたはWebLogic Scripting Toolで管理する場合、これらのツールでは安全ではないRC4や3DESの暗号が認識されないため、これらのツールを使用して前述のような暗号スイートを構成することはできません。

これらを暗号スイート構成に明示的に追加すると、Oracle HTTP Serverの起動に失敗します。

非推奨暗号スイートのリスト:

  • SSL_RSA_WITH_AES_128_CBC_SHA
  • SSL_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384

ノート:

非推奨の暗号はまだサポートされていますが、使用はお薦めしません。非推奨の暗号を使用する場合、それらの暗号はデフォルト構成から削除されるため、構成ファイルに手動で追加する必要があります。
  

表H-*は、必要な暗号スイートを記述するためにこの文字列で使用できるタグを示しています。

カテゴリ

SSLCipherSuite ALL:!MD5

この例では、MD5強度暗号を除くすべての暗号が指定されています。

構文

SSLCipherSuite cipher-spec

デフォルト

 
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

表H-1 SSL暗号スイートのタグ

機能 タグ 意味

キーの交換

kRSA

RSAキーの交換

キーの交換

kECDHE

楕円曲線Diffie–Hellman交換のキー交換

認証

aRSA

RSA認証

データ整合性

SHA

SHAハッシュ関数

データ整合性

SHA256

SHA256ハッシュ関数

データ整合性

SHA384

SHA384ハッシュ関数

別名

TLSv1.2

すべてのTLS V1.2暗号

別名

TLSv1.3

すべてのTLS V1.3暗号

別名

MEDIUM

128ビット暗号化を使用したすべての暗号

別名

HIGH

サイズが128ビットを超える暗号キーを使用したすべての暗号

別名

AES

AES暗号化を使用したすべての暗号

別名

RSA

RSA認証およびRSAキー交換の両方を使用したすべての暗号

別名

ECDSA

認証の楕円曲線デジタル署名アルゴリズムを使用したすべての暗号

別名

ECDHE

楕円曲線Diffie–Hellman交換のキー交換を使用したすべての暗号

別名

AES-GCM

暗号用のGalois/Counter Mode (GCM)でAdvanced Encryption Standardを使用するすべての暗号

H-2に、Oracle HTTP Server 14.1.2.0.0でサポートされている暗号スイートを示します。

ノート:

「非推奨暗号スイートのリスト」に記載されているすべての非推奨暗号は、下位互換性のために引き続きサポートされます。強力ではないため、使用はお薦めしません。

表H-2 Oracle HTTP Server 14.1.2.0.0でサポートされている暗号スイート

暗号スイート キーの交換 認証 暗号化 データ整合性 TLS v1.2 TLS v1.3

SSL_RSA_WITH_AES_128_CBC_SHA

RSA

RSA

AES (128)

SHA

いいえ

SSL_RSA_WITH_AES_256_CBC_SHA

RSA

RSA

AES (256)

SHA

いいえ

TLS_AES_128_CCM_SHA256

ECDHE

RSA/ECDSA

AES (128)

SHA256

いいえ

TLS_AES_128_GCM_SHA256

ECDHE

RSA/ECDSA

AES (128)

SHA256

いいえ

TLS_AES_256_GCM_SHA384

ECDHE

RSA/ECDSA

AES (256)

SHA384

いいえ

TLS_CHACHA20_POLY1305_SHA256

ECDHE

RSA/ECDSA

ChaCha20 (256)

SHA256

いいえ

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

ECDHE

ECDSA

AES (128)

SHA

いいえ

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

ECDHE

ECDSA

AES (128)

SHA256

いいえ

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

ECDHE

ECDSA

AES (128)

SHA256

いいえ

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

ECDHE

ECDSA

AES (256)

SHA

いいえ

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

ECDHE

ECDSA

AES (256)

SHA384

いいえ

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

ECDHE

ECDSA

AES (256)

SHA384

いいえ

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

RSA署名付きのエフェメラルECDH

RSA

AES (128)

SHA

いいえ

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

RSA署名付きのエフェメラルECDH

RSA

AES (128)

SHA256

いいえ

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

RSA署名付きのエフェメラルECDH

RSA

AES (128)

SHA256

いいえ

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

RSA署名付きのエフェメラルECDH

RSA

AES (256)

SHA

いいえ

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

RSA署名付きのエフェメラルECDH

RSA

AES (256)

SHA384

いいえ

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

RSA署名付きのエフェメラルECDH

RSA

AES (256)

SHA384

いいえ

TLS_RSA_WITH_AES_128_CBC_SHA256

RSA

RSA

AES (128)

SHA256

いいえ

TLS_RSA_WITH_AES_128_GCM_SHA256

RSA

RSA

AES (128)

SHA256

いいえ

TLS_RSA_WITH_AES_256_CBC_SHA256

RSA

RSA

AES (256)

SHA256

いいえ

TLS_RSA_WITH_AES_256_GCM_SHA384

RSA

RSA

AES (256)

SHA384

いいえ

親トピック: mod_osslモジュール

SSLEngineディレクティブ

SSLプロトコル・エンジンの使用を切り替えます。通常は<VirtualHost>セクションの中で使用し、特定の仮想ホストに対してSSLを有効にします。デフォルトでは、SSLプロトコル・エンジンは、メイン・サーバーとすべての構成済仮想ホストの両方で無効にされています。

カテゴリ

構文

SSLEngine on|off

SSLEngine on

デフォルト

Off

親トピック: mod_osslモジュール

SSLFIPSディレクティブ

このディレクティブは、SSLライブラリのFIPS_modeフラグの使用方法を切り替えます。これは、グローバル・サーバー・コンテキスト内に設定される必要があり、競合する設定(SSLFIPS offが続くSSLFIPS onなど)があると構成できません。このモードはすべてのSSLライブラリ操作に適用されます。

カテゴリ

構文

 
SSLFIPS ON | OFF
 

SSLFIPS ON

デフォルト

Off

SSLFIPSの変更を構成する場合は、SSLFIPS on/offディレクティブがssl.conf内でグローバルに設定されている必要があります。仮想レベルの構成はSSLFIPSディレクティブ内で無効になっています。したがって、仮想ディレクティブにSSLFIPSを設定するとエラーになります。

ノート:

SSLFIPSに関する次の制限に注意してください。

次の表で、SSLFIPSモードで様々なプロトコルとともに動作する暗号スイートについて説明します。これらの暗号スイートの実装方法の手順は、SSLCipherSuiteディレクティブを参照してください。

表H-3に、SSLFIPSモードで使用できる暗号スイートおよびプロトコルを示します。

表H-3 FIPSモードで動作する暗号

暗号名 暗号は次のプロトコルで動作します。

TLS_AES_128_CCM_SHA256

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS 1.3

TLS_AES_256_GCM_SHA384

TLS 1.3

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS 1.2

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS 1.2

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS 1.2

TLS_RSA_WITH_AES_256_CBC_SHA256

TLS 1.2

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.2

SSL_RSA_WITH_AES_128_CBC_SHA

TLS 1.2

SSL_RSA_WITH_AES_256_CBC_SHA

TLS 1.2

ノート:

  • SSLFIPSがONに設定され、FIPSをサポートしない暗号がサーバーで使用されている場合、その暗号を使用するクライアント・リクエストは失敗します。

  • TLS_ECDHE_ECDSA暗号スイートを使用するには、Oracle HTTP ServerでECCユーザー証明書付きで作成されたウォレットが必要です。TLS_ECDHE_ECDSA暗号スイートはRSA証明書では機能しません。

  • SSL_RSA/TLS_RSA/TLS_ECDHE_RSA暗号スイートを使用するために、Oracle HTTP ServerではRSAユーザー証明書付きで作成されたウォレットが必要です。SSL_RSA/TLS_RSA/TLS_ECDHE_RSA暗号スイートはECC証明書では機能しません。

ウォレットでのECC/RSA証明書の構成方法の詳細は、Oracle Fusion Middlewareの管理orapkiを使用したOracle Walletの作成および表示を参照してください。

これらの暗号スイートおよび対応するプロトコルを実装する方法の手順は、SSL暗号スイート・ディレクティブおよびSSLプロトコルを参照してください。

表H-4に、SSPFIPSモードで動作しない暗号スイートを示します。

表H-4 SSLFIPSモードで動作しない暗号

暗号名 説明

TLS_CHACHA20_POLY1305_SHA256

TLSv1.3プロトコルでSSLFIPSモードで動作しない

親トピック: mod_osslモジュール

SSLHonorCipherOrderディレクティブ

ハンドシェイク中に暗号を選択すると、通常、クライアントのプリファレンスが使用されます。このディレクティブが有効な場合、サーバーのプリファレンスがかわりに使用されます。

カテゴリ

構文

SSLHonorCipherOrder ON | OFF

 

SSLHonorCipherOrder ON

デフォルト

OFF

サーバーのプリファレンス順序はSSLCipherSuiteディレクティブを使用して構成できます。SSLHonorCipherOrderがONに設定されている場合、SSLCipherSuiteの値は暗号値の順序付きリストとして扱われます。

このリストの最初に表示される暗号値は、リストのそれ以降に表示される暗号よりもサーバーで優先されます。

: 

SSLCipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

SSLHonorCipherOrder ON

この例では、サーバーはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384を、クライアントがサポートしている場合、リストで最初に表示され、SSL接続用にこの暗号を選択するので、SSLCipherSuiteディレクティブで構成されているその他のすべての暗号よりも優先します。

親トピック: mod_osslモジュール

SSLOptionsディレクティブ

ディレクトリ単位で様々なランタイム・オプションを制御します。一般に、1つのディレクトリに複数のオプションが適用される場合は、最も包括的なオプションが適用されます(オプションはマージされません)。ただし、SSLOptionsディレクティブのすべてのオプションの前にプラス(+)またはマイナス(-)符号が付いている場合は、オプションがマージされます。プラスが前に付いているオプションは、現在有効なオプションに追加され、マイナスが前に付いているオプションは、現在有効なオプションから除外されます。

使用できる値は次のとおりです:

  • StdEnvVars: SSLに関連するCGI/SSI環境変数の標準セットを作成します。抽出操作はCPU時間が長くかかること、また静的コンテンツを提供するときには一般に適用されないことから、これはデフォルトでは無効になっています。一般に、この値はCGI/SSIリクエストの場合にのみ有効にします。

  • ExportCertData: 次の追加CGI/SSI変数を有効にします。

    SSL_SERVER_CERT

    SSL_CLIENT_CERT

    SSL_CLIENT_CERT_CHAIN_n (ここでn= 0, 1, 2...)

    これらの変数には、現在のHTTPS接続のサーバーおよびクライアント用にPrivacy Enhanced Mail (PEM)でエンコードされたX.509証明書が含まれています。CGIスクリプトではこれを使用して、より詳しい証明書チェックを行うことができます。クライアント証明書連鎖の他の証明書がすべて提供されます。このオプションを使用するとパフォーマンスに時間がかかるため、デフォルトではOffになっています。

    SSL_CLIENT_CERT_CHAIN_n変数の順序は、次のようになります。SSL_CLIENT_CERT_CHAIN_0は、SSL_CLIENT_CERTを署名する中間的なCAです。SSL_CLIENT_CERT_CHAIN_1は、SSL_CLIENT_ROOT_CERTをルートCAとして、SSL_CLIENT_CERT_CHAIN_0などを署名する中間的なCAです。

  • FakeBasicAuth: クライアントのX.509証明書の対象識別名をHTTP Basic認証のユーザー名に変換します。これは、標準のHTTPサーバー認証方式がアクセス制御に使用できることを意味します。ユーザーからはパスワードが取得されず、文字列passwordが置き換えられます。

  • StrictRequire: SSLRequireSSLディレクティブまたはディレクティブに従ってアクセスを禁止する必要がある場合にアクセスを拒否します。StrictRequireを指定しないと、Satisfy anyディレクティブ設定がSSLRequireまたはSSLRequireSSLディレクティブをオーバーライドして、クライアントがホスト制約を渡した場合、または有効なユーザー名とパスワードを指定した場合に、アクセスが許可されてしまう可能性があります。

    このように、SSLRequireSSLまたはSSLRequireSSLOptions +StrictRequireと組み合せることで、mod_osslはあらゆる場合にSatisfy anyディレクティブをオーバーライドできます。

  • CompatEnvVars: Apache SSL 1.x、mod_ssl 2.0.x、Sioux 1.0およびStronghold 2.xとの後方互換性のために、廃止された環境変数をエクスポートします。これは、既存のCGIスクリプトに対する互換性を提供するために使用します。

  • OptRenegotiate: SSLのディレクティブがディレクトリ単位のコンテキストで使用されるときに、最適化されたSSL接続再ネゴシエーション処理を有効にします。

カテゴリ

構文

SSLOptions [+-] StdEnvVars | ExportCertData | FakeBasicAuth | StrictRequire | CompatEnvVars | OptRenegotiate

SSLOptions -StdEnvVars

デフォルト

なし

親トピック: mod_osslモジュール

SSLProtocolディレクティブ

mod_osslがサーバー環境を設定するときに使用するSSLプロトコルを指定しますクライアントは、指定されたプロトコルのいずれかでのみ接続できます。使用できる値は次のとおりです:

  • TLSv1.2

  • TLSv1.3

  • All

複数の値をスペース区切りのリストとして指定できます。構文で、"-"および"+"記号の意味は次のとおりです。

  • + : プロトコルをリストに追加します

  • - : プロトコルをリストから削除します

現在のリリースでは、All+TLSv1.3 +TLSv1.2として定義されます。

カテゴリ

構文

SSLProtocol [+-] TLSv1.3 | TLSv1.2 | All

SSLProtocol +TLSv1.2 +TLSv1.3

デフォルト

TLSv1.2 TLSv1.3

ノート:

  • TLSv1.3 では再ネゴシエーションが提供されないため、ディレクトリ・コンテキストでそのための暗号化を指定することはできません。
  • TLSv1.3がSSLProtocol構成に指定されており、SSLCipherSuiteが暗号スイートを明示的に構成するように設定されているが、指定されたリストにTLSv1.3暗号スイートが含まれていない場合、Oracle HTTP Serverは起動時に次のデフォルトのTLSv1.3暗号を自動的にアクティブ化します:
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
  • mod_osslディレクティブがLocationブロック内に構成されているとき、サーバー側からの再ネゴシエーションが自動的に強制され、新しいSSL構成に対応します。

親トピック: mod_osslモジュール

SSLProxyCheckPeerNameディレクティブ

このディレクティブは、mod_osslがSSLクライアントとして機能している場合に、サーバー証明書のホスト名チェックを構成します。リクエストURIのホスト名が証明書のサブジェクトのCN属性の1つと一致するか、subjectAltName拡張と一致すると、チェックは成功します。チェックが失敗すると、SSLリクエストが中断され、502ステータス・コード(不正なゲートウェイ)が返されます。

ワイルドカードの照合は特定のケースでサポートされます(タイプがdNSNamesubjectAltNameエントリ)。または、*.から始まるCN属性は、名前要素の数が同じで接尾辞が同じすべてのホスト名と一致します。たとえば、*.example.orgはfoo.example.orgと一致しますが、foo.bar.example.orgとは一致しません。それぞれのホスト名の要素数が異なるためです。

カテゴリ
構文 SSLProxyCheckPeerName on | off
SSLProxyCheckPeerName on
デフォルト on
コンテキスト サーバー構成、仮想ホスト、プロキシ・セクション

親トピック: mod_osslモジュール

SSLProxyCipherSuiteディレクティブ

プロキシがSSLハンドシェイク時に使用できるSSL暗号スイートを指定します。このディレクティブでは、コロンで区切られた暗号指定文字列を使用して暗号スイートを識別します。表H-1に、必要な暗号スイートを記述するためにこの文字列で使用するタグを示します。SSLProxyCipherSuiteには次の値を使用できます。

  • none: リストに暗号を追加します。

  • +: リストに暗号を追加し、リスト内の正しい位置に配置します。

  • -: リストから暗号を削除します(後で追加できます)。

  • !: リストから暗号を永続的に削除します。

タグは、暗号指定文字列を構成する接頭辞と結合されます。タグは、暗号指定文字列を構成する接頭辞と結合されます。SSLProxyCipherSuiteディレクティブはSSLCipherSuiteディレクティブと同じタグを使用します。サポートされているスイートのタグのリストについては、表H-1を参照してください。

カテゴリ

SSLProxyCipherSuite ALL:!MD5

この例では、MD5強度暗号を除くすべての暗号が指定されています。

構文

SSLProxyCipherSuite cipher-spec

デフォルト

 
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

SSLProxyCipherSuiteディレクティブはSSLCipherSuiteディレクティブと同じ暗号スイートを使用します。サポートされている暗号スイートのリストは、表H-2を参照してください。

親トピック: mod_osslモジュール

SSLProxyEngineディレクティブ

プロキシのSSL/TLSプロトコル・エンジンを有効または無効にします。SSLProxyEngineは<VirtualHost>セクションの中で使用し、特定の仮想ホストでのプロキシの使用に対してSSL/TLSを有効にします。デフォルトでは、SSL/TLSプロトコル・エンジンは、メイン・サーバーとすべての構成済仮想ホストの両方でプロキシに対して無効になっています。

SSLProxyEngineは、(ProxyディレクティブまたはProxyRequestディレクティブを使用した)フォワード・プロキシとして動作する仮想ホストに含めることはできません。プロキシSSL/TLSリクエストに対してフォワード・プロキシ・サーバーを有効化する際に、SSLProxyEngineは必須ではありません。

カテゴリ

構文

SSLProxyEngine ON | OFF

SSLProxyEngine on

デフォルト

Disable

親トピック: mod_osslモジュール

SSLProxyProtocolディレクティブ

mod_osslがサーバー環境でプロキシ接続を設定するときに使用するSSLプロトコルを指定します。プロキシは、指定されたプロトコルのいずれかでのみ接続できます。使用できる値は次のとおりです:

  • TLSv1.2

  • TLSv1.3

  • All

複数の値をスペース区切りのリストとして指定できます。構文で、"-"および"+"記号の意味は次のとおりです。

  • + : プロトコルをリストに追加します

  • - : プロトコルをリストから削除します

現在のリリースでは、All+TLSv1.3 +TLSv1.2として定義されます。

カテゴリ

構文

SSLProxyProtocol [+-] TLSv1.3 | TLSv1.2 | All

SSLProxyProtocol +TLSv1.3 +TLSv1.2

デフォルト

ALL

親トピック: mod_osslモジュール

SSLProxyWalletディレクティブ

プロキシ接続が使用する必要のある、WRLを使用してウォレットの場所を指定(ファイルパスとして指定)します。

カテゴリ

構文

SSLProxyWallet file:path to wallet

 

SSLProxyWallet "${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/keystores/proxy"

デフォルト

なし

親トピック: mod_osslモジュール

SSLRequireディレクティブ

ノート:

SSLRequireは非推奨であり、必須式に置き換える必要があります。詳細は、Apache HTTP Serverドキュメントの必須式を参照してください。

任意の複合ブール式がTRUEでないかぎり、アクセスを拒否します。

カテゴリ

構文

SSLRequire expression

SSLRequire word ">=" word |word "ge" word

デフォルト

なし

式変数の理解

変数は、次の構文と一致する必要があります(BNF構文表記として示してあります)。 

expr ::= "true" | "false"
"!" expr
expr "&&" expr
expr "||" expr
"(" expr ")"

comp ::=word "==" word | word "eq" word
word "!=" word |word "ne" word
word "<" word |word "lt" word
word "<=" word |word "le" word
word ">" word |word "gt" word
word ">=" word |word "ge" word
word "=~" regex
word "!~" regex
wordlist ::= word
wordlist "," word

word ::= digit
cstring
variable
function

digit ::= [0-9]+

cstring ::= "..."

variable ::= "%{varname}"

表H-5表H-6に標準変数とSSL変数を示します。これらの値はvarnameの有効値です。 

function ::= funcname "(" funcargs ")"

funcnameには、次の関数を使用できます。 

file(filename)

file関数は文字列引数(ファイル名)を1つ取り、そのファイルの内容に拡張します。これは、正規表現に照らしてファイルの内容を評価する場合に役立ちます。

表H-5に、SSLRequireディレクティブvarnameの標準変数を示します。

表H-5 SSLRequireのvarnameの標準変数

標準変数 標準変数 標準変数

HTTP_USER_AGENT

PATH_INFO

AUTH_TYPE

HTTP_REFERER

QUERY_STRING

SERVER_SOFTWARE

HTTP_COOKIE

REMOTE_HOST

API_VERSION

HTTP_FORWARDED

REMOTE_IDENT

TIME_YEAR

HTTP_HOST

IS_SUBREQ

TIME_MON

HTTP_PROXY_CONNECTION

DOCUMENT_ROOT

TIME_DAY

HTTP_ACCEPT

SERVER_ADMIN

TIME_HOUR

HTTP:headername

SERVER_NAME

TIME_MIN

THE_REQUEST

SERVER_PORT

TIME_SEC

REQUEST_METHOD

SERVER_PROTOCOL

TIME_WDAY

REQUEST_SCHEME

REMOTE_ADDR

TIME

REQUEST_URI

REMOTE_USER

ENV:variablename

REQUEST_FILENAME

 

 

表H-6に、SSLRequireディレクティブのvarnameのSSL変数を示します。

表H-6 SSLRequireのvarnameのSSL変数

SSL変数 SSL変数 SSL変数

HTTPS

SSL_PROTOCOL

SSL_CIPHER_ALGKEYSIZE

SSL_CIPHER

SSL_CIPHER_EXPORT

SSL_VERSION_INTERFACE

SSL_CIPHER_USEKEYSIZE

SSL_VERSION_LIBRARY

SSL_SESSION_ID

SSL_CLIENT_V_END

SSL_CLIENT_M_SERIAL

SSL_CLIENT_V_START

SSL_CLIENT_S_DN_ST

SSL_CLIENT_S_DN

SSL_CLIENT_S_DN_C

SSL_CLIENT_S_DN_CN

SSL_CLIENT_S_DN_O

SSL_CLIENT_S_DN_OU

SSL_CLIENT_S_DN_G

SSL_CLIENT_S_DN_T

SSL_CLIENT_S_DN_I

SSL_CLIENT_S_DN_UID

SSL_CLIENT_S_DN_S

SSL_CLIENT_S_DN_D

SSL_CLIENT_I_DN_C

SSL_CLIENT_S_DN_Email

SSL_CLIENT_I_DN

SSL_CLIENT_I_DN_O

SSL_CLIENT_I_DN_ST

SSL_CLIENT_I_DN_L

SSL_CLIENT_I_DN_T

SSL_CLIENT_I_DN_OU

SSL_CLIENT_I_DN_CN

SSL_CLIENT_I_DN_S

SSL_CLIENT_I_DN_I

SSL_CLIENT_I_DN_G

SSL_CLIENT_I_DN_Email

SSL_CLIENT_I_DN_D

SSL_CLIENT_I_DN_UID

SSL_CLIENT_CERT

SSL_CLIENT_CERT_CHAIN_n

SSL_CLIENT_ROOT_CERT

SSL_CLIENT_VERIFY

SSL_CLIENT_M_VERSION

SSL_SERVER_M_VERSION

SSL_SERVER_V_START

SSL_SERVER_V_END

SSL_SERVER_M_SERIAL

SSL_SERVER_S_DN_C

SSL_SERVERT_S_DN_ST

SSL_SERVER_S_DN

SSL_SERVER_S_DN_OU

SSL_SERVER_S_DN_CN

SSL_SERVER_S_DN_O

SSL_SERVER_S_DN_I

SSL_SERVER_S_DN_G

SSL_SERVER_S_DN_T

SSL_SERVER_S_DN_D

SSL_SERVER_S_DN_UID

SSL_SERVER_S_DN_S

SSL_SERVER_I_DN

SSL_SERVER_I_DN_C

SSL_SERVER_S_DN_Email

SSL_SERVER_I_DN_L

SSL_SERVER_I_DN_O

SSL_SERVER_I_DN_ST

SSL_SERVER_I_DN_CN

SSSL_SERVER_I_DN_T

SSL_SERVER_I_DN_OU

SSL_SERVER_I_DN_G

SSL_SERVER_I_DN_I

 

親トピック: mod_osslモジュール

SSLRequireSSLディレクティブ

SSLを使用していないクライアントに対してアクセスを拒否します。構成エラーにより、セキュリティがぜい弱になる可能性があるSSL対応の仮想ホストまたはディレクトリの完全保護に役立つディレクティブです。

カテゴリ

構文

SSLRequireSSL

SSLRequireSSL

デフォルト

なし

親トピック: mod_osslモジュール

SSLSessionCacheディレクティブ

グローバル・セッションまたはプロセス間セッションのセッション・キャッシュ・ストレージ・タイプを指定します。キャッシュは、リクエストのパラレル処理を高速化するオプションの方法を提供します。有効な値は次のとおりです。

  • none: グローバルまたはプロセス間セッション・キャッシュを無効にします。機能に対する影響はありませんが、パフォーマンスに大きな差が出ます。

  • shmcb:/path/to/datafile[bytes]: 高パフォーマンスのShared Memory Cyclic Buffer (SHMCB)セッション・キャッシュを使用して、サーバー・プロセスのローカルSSLメモリー・キャッシュと同期化します。ノート: このshm設定では、ローカル・ディスクの/path/to/datafileの下にログ・ファイルは作成されません。

カテゴリ

構文

SSLSessionCache none | shmcb:/path/to/datafile[bytes]

SSLSessionCache "shmcb:${ORACLE_INSTANCE}/servers/${COMPONENT_NAME}/logs/ssl_scache(512000)"

デフォルト

SSLSessionCache shmcb:/path/to/datafile[bytes]

親トピック: mod_osslモジュール

SSLSessionCacheTimeoutディレクティブ

セッション・キャッシュ内でSSLセッションの有効期限が満了になるまでの秒数を指定します。

カテゴリ

構文

SSLSessionCacheTimeout seconds

SSLSessionCacheTimeout 120

デフォルト

300

親トピック: mod_osslモジュール

SSLStrictSNIVHostディレクティブ

このディレクティブは、SNI以外のクライアントが名前ベースの仮想ホストにアクセスできるかどうかを設定します。デフォルトの名前ベースの仮想ホストでonに設定すると、SNIに対応しないクライアントは、その特定のIP/ポートの組合せに属する仮想ホストにアクセスできなくなります。その他の仮想ホストでonに設定した場合も、SNIに対応しないクライアントは、その特定の仮想ホストにアクセスできません。

カテゴリ
構文 SSLStrictSNIVHostCheck on | off
SSLStrictSNIVHostCheck on
デフォルト off
コンテキスト サーバー構成、仮想ホスト

親トピック: mod_osslモジュール

SSLVerifyClientディレクティブ

接続時にクライアントが証明書を提示する必要があるかどうかを指定します。有効な値は次のとおりです。

  • none: クライアント証明書は不要です。

  • optional: クライアントは有効な証明書を提示できます。

  • require: クライアントは有効な証明書を提示する必要があります。

カテゴリ

構文

SSLVerifyClient none | optional | require

SSLVerifyClient optional

デフォルト

なし

ノート:

mod_sslに含まれているレベルoptional_no_ca(クライアントは有効な証明書を提示できるが、証明書が検証可能である必要はない)は、mod_osslではサポートされていません。

親トピック: mod_osslモジュール

SSLWalletディレクティブ

WRLを使用してウォレットの場所を指定します。ファイルパスとして指定されます。

カテゴリ

構文

SSLWallet file:path to wallet directory

file:pathは単にpathと表すこともできます。 

SSLWallet "${ORACLE_INSTANCE}/config/fmwconfig/components/${COMPONENT_TYPE}/instances/${COMPONENT_NAME}/keystores/default"

デフォルト

これがデフォルトです。

ノート:

ウォレットにMD5アルゴリズムで署名された証明書や証明書リクエストがある場合、Oracle HTTP Serverは起動に失敗します。

親トピック: mod_osslモジュール