|
Interstage Application Server セキュリティシステム運用ガイド
|
目次
索引
 
|
8.2.2 環境定義ファイルの設定
Interstage HTTP Serverの環境定義ファイル(httpd.conf)にSSLの設定を行います。
SSLの運用では、一般的な運用(クライアント認証あり/クライアント認証なし)に加え、バーチャルホスト機能を併用して設定することでSSLを使用しない通信とSSLを使用する通信を同時に行うことができます。それぞれのInterstage HTTP Serverの環境定義ファイル(httpd.conf)の定義例を以下に示します。
一般的なSSLの運用
以下のような設定でSSL運用を行う場合
ポート番号“443”
バージョン3.0またはバージョン2.0のSSLプロトコル使用
クライアント認証あり
スロット情報ディレクトリ“d:\ssl\slotdir”
トークンラベル“secret_key_tok”
ユーザPIN管理ファイル“d:\ssl\upinfile”
運用管理ディレクトリ“d:\ssl\envdir”
サイト証明書のニックネーム“server_cert”
クライアントCA証明書のニックネーム“client_cert”
# モジュールの追加(コメントを削除)
AddModule mod_ihs_ssl.c
# Webブラウザとの通信に使用するポート番号
Port 443
# サーバ管理者のメールアドレス
ServerAdmin webmaster@main.example.com
# サーバの名前
ServerName main.example.com
# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル(クライアント認証なしの場合は、"none"を指定)
SSLVerifyClient require
# スロット情報ディレクトリ
SSLSlotDir d:/ssl/slotdir
# トークンラベル
SSLTokenLabel secret_key_tok
# ユーザPIN管理ファイル名
SSLUserPINFile d:/ssl/upinfile
# 運用管理ディレクトリ
SSLEnvDir d:/ssl/envdir
# サイト証明書のニックネーム
SSLCertName server_cert
# クライアントCA証明書のニックネーム
SSLClCACertName client_cert
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 |
以下のような設定でSSL運用を行う場合
ポート番号“443”
バージョン3.0またはバージョン2.0のSSLプロトコル使用
クライアント認証あり
スロット情報ディレクトリ“/home/ssl/slotdir”
トークンラベル“secret_key_tok”
ユーザPIN管理ファイル“/home/ssl/upinfile”
運用管理ディレクトリ“/home/ssl/envdir”
サイト証明書のニックネーム“server_cert”
クライアントCA証明書のニックネーム“client_cert”
証明書/鍵管理環境の構築を行ったユーザ“user1”
証明書/鍵管理環境の構築を行ったグループ“group1”
# モジュールの追加(コメントを削除)
AddModule mod_ihs_ssl.c
# Webブラウザとの通信に使用するポート番号
Port 443
# サーバ管理者のメールアドレス
ServerAdmin webmaster@main.example.com
# サーバの名前
ServerName main.example.com
# 証明書/鍵管理環境の構築を行ったユーザの設定
User user1
# 証明書/鍵管理環境の構築を行ったグループの設定
Group group1
# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル(クライアント認証なしの場合は、"none"を指定)
SSLVerifyClient require
# スロット情報ディレクトリ
SSLSlotDir /home/ssl/slotdir
# トークンラベル
SSLTokenLabel secret_key_tok
# ユーザPIN管理ファイル名
SSLUserPINFile /home/ssl/upinfile
# 運用管理ディレクトリ
SSLEnvDir /home/ssl/envdir
# サイト証明書のニックネーム
SSLCertName server_cert
# クライアントCA証明書のニックネーム
SSLClCACertName client_cert
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 |
バーチャルホスト機能を併用したSSLの運用
以下のような設定で運用を行う場合
SSLを使用しないバーチャルホスト:
ポート番号“80”、公開用ルートディレクトリ“C:\www\public”
SSLを使用するバーチャルホスト(クライアント認証なし):
ポート番号“443”、公開用ルートディレクトリ“C:\www\secure1”
SSLを使用するバーチャルホスト(クライアント認証あり):
ポート番号“444”、公開用ルートディレクトリ“C:\www\secure2”
# モジュールの追加(コメントを削除)
AddModule mod_ihs_ssl.c
# Webブラウザとの通信に使用するポート番号
Listen 80
Listen 443
Listen 444
# スロット情報ディレクトリ
SSLSlotDir d:/ssl/slotdir
# トークンラベル
SSLTokenLabel secret_key_tok
# ユーザPIN管理ファイル名
SSLUserPINFile d:/ssl/upinfile
#
# SSLを使用しないバーチャルホスト(ポート番号:80)
#
# バーチャルホストの設定
<VirtualHost 192.168.0.1:80>
# ホスト名
ServerName main.example.com
# 公開用ルートディレクトリ
DocumentRoot C:/www/public
</VirtualHost>
#
# SSLを使用するバーチャルホスト(ポート番号:443)
#
# バーチャルホストの設定
<VirtualHost 192.168.0.1:443>
# ホスト名
ServerName main.example.com
# 公開用ルートディレクトリ
DocumentRoot C:/www/secure1
# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2
# 運用管理ディレクトリ
SSLEnvDir d:/ssl/envdir
# サイト証明書のニックネーム
SSLCertName cert_for_purchase
# アクセスログ出力
CustomLog "|ihsrlog -s logs/accesslog_secure1 1 5" common
# エラーログ出力
ErrorLog "|ihsrlog -s logs/errorlog_secure1 1 5"
</VirtualHost>
#
# SSLを使用するホスト(ポート番号:444)
#
# バーチャルホストの設定
<VirtualHost 192.168.0.1:444>
# ホスト名
ServerName main.example.com
# 公開用ルートディレクトリ
DocumentRoot C:/www/secure2
# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル
SSLVerifyClient require
# 運用管理ディレクトリ
SSLEnvDir d:/ssl/envdir
# サイト証明書のニックネーム
SSLCertName cert_for_manager
# クライアントCA証明書のニックネーム
SSLClCACertName CACert_InfoCA
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5
# アクセスログ出力
CustomLog "|ihsrlog -s logs/accesslog_secure2 1 5" common
# エラーログ出力
ErrorLog "|ihsrlog -s logs/errorlog_secure2 1 5"
</VirtualHost> |
以下のような設定で運用を行う場合
SSLを使用しないバーチャルホスト:
ポート番号“80”、公開用ルートディレクトリ“/home/www/public”
SSLを使用するバーチャルホスト(クライアント認証なし):
ポート番号“443”、公開用ルートディレクトリ“/home/www/secure1”
SSLを使用するバーチャルホスト(クライアント認証あり):
ポート番号“444”、公開用ルートディレクトリ“/home/www/secure2”
証明書/鍵管理環境の構築を行ったユーザ“user1”
証明書/鍵管理環境の構築を行ったグループ“group1”
# モジュールの追加(コメントを削除)
AddModule mod_ihs_ssl.c
# Webブラウザとの通信に使用するポート番号
Listen 80
Listen 443
Listen 444
# 証明書/鍵管理環境の構築を行ったユーザの設定
User user1
# 証明書/鍵管理環境の構築を行ったグループの設定
Group group1
# スロット情報ディレクトリ
SSLSlotDir /home/ssl/slotdir
# トークンラベル
SSLTokenLabel secret_key_tok
# ユーザPIN管理ファイル名
SSLUserPINFile /home/ssl/upinfile
#
# SSLを使用しないバーチャルホスト(ポート番号:80)
#
# バーチャルホストの設定
<VirtualHost 192.168.0.1:80>
# ホスト名
ServerName main.example.com
# 公開用ルートディレクトリ
DocumentRoot /home/www/public
</VirtualHost>
#
# SSLを使用するバーチャルホスト(ポート番号:443)
#
# バーチャルホストの設定
<VirtualHost 192.168.0.1:443>
# ホスト名
ServerName main.example.com
# 公開用ルートディレクトリ
DocumentRoot /home/www/secure1
# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2
# 運用管理ディレクトリ
SSLEnvDir /home/ssl/envdir
# サイト証明書のニックネーム
SSLCertName cert_for_purchase
# アクセスログ出力
CustomLog "|/opt/FJSVihs/bin/ihsrlog -s /opt/FJSVihs/logs/accesslog_secure1 1 5" common
# エラーログ出力
ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s /opt/FJSVihs/logs/errorlog_secure1 1 5"
</VirtualHost>
#
# SSLを使用するホスト(ポート番号:444)
#
# バーチャルホストの設定
<VirtualHost 192.168.0.1:444>
# ホスト名
ServerName main.example.com
# 公開用ルートディレクトリ
DocumentRoot /home/www/secure2
# SSLの使用有無
SSLExec on
# SSLのバージョン
SSLVersion 2-3
# クライアント認証レベル
SSLVerifyClient require
# 運用管理ディレクトリ
SSLEnvDir /home/ssl/envdir
# サイト証明書のニックネーム
SSLCertName cert_for_manager
# クライアントCA証明書のニックネーム
SSLClCACertName CACert_InfoCA
# 暗号化の方法
SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5
# アクセスログ出力
CustomLog "|/opt/FJSVihs/bin/ihsrlog -s /var/opt/FJSVihs/logs/accesslog_secure2 1 5" common
# エラーログ出力
ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s /var/opt/FJSVihs/logs/errorlog_secure2 1 5"
</VirtualHost> |
関連ディレクティブ
All Rights Reserved, Copyright(C) 富士通株式会社 2006