Interstage Application Server セキュリティシステム運用ガイド
目次 索引 前ページ次ページ
第3部 SSLによる暗号化通信> 第7章 Interstage HTTP ServerでSSLを利用する方法> 7.2 SMEEコマンドで構築する証明書/鍵管理環境のSSLの設定

7.2.2 環境定義ファイルの設定

 Interstage HTTP Serverの環境定義ファイル(httpd.conf)にSSLの設定を行います。
 SSLの運用では、一般的な運用(クライアント認証あり/クライアント認証なし)に加え、バーチャルホスト機能を併用して設定することでSSLを使用しない通信とSSLを使用する通信を同時に行うことができます。それぞれのInterstage HTTP Serverの環境定義ファイル(httpd.conf)の定義例を以下に示します。

一般的なSSLの運用


 以下のような設定でSSL運用を行う場合
  ポート番号“443”
  SSLプロトコルバージョン“SSL3.0”または“SSL2.0”
  クライアント認証あり
  スロット情報ディレクトリ“d:\ssl\slotdir”
  トークンラベル“secret_key_tok”
  ユーザPIN管理ファイル“d:\ssl\upinfile”
  運用管理ディレクトリ“d:\ssl\envdir”
  サイト証明書のニックネーム“server_cert”
  クライアントCA証明書のニックネーム“client_cert”

AddModule mod_ihs_ssl.c

Port 443
ServerAdmin webmaster@main.example.com
ServerName main.example.com

SSLExec on
SSLVersion 2-3
SSLVerifyClient require
SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile
SSLEnvDir d:/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5


 以下のような設定でSSL運用を行う場合
  ポート番号“443”
  SSLプロトコルバージョン“SSL3.0”または“SSL2.0”
  クライアント認証あり
  スロット情報ディレクトリ“/home/ssl/slotdir”
  トークンラベル“secret_key_tok”
  ユーザPIN管理ファイル“/home/ssl/upinfile”
  運用管理ディレクトリ“/home/ssl/envdir”
  サイト証明書のニックネーム“server_cert”
  クライアントCA証明書のニックネーム“client_cert”
  証明書/鍵管理環境の構築を行ったユーザ“user1”
  証明書/鍵管理環境の構築を行ったグループ“group1”

AddModule mod_ihs_ssl.c

Port 443
ServerAdmin webmaster@main.example.com
ServerName main.example.com

User user1
Group group1

SSLExec on
SSLVersion 2-3
SSLVerifyClient require
SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile
SSLEnvDir /home/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5

バーチャルホスト機能を併用したSSLの運用


 以下のような設定で運用を行う場合
  SSLを使用しないバーチャルホスト:
   ポート番号“80”、公開用ルートディレクトリ“C:\www\public”
  SSLを使用するバーチャルホスト(クライアント認証なし):
   ポート番号“443”、公開用ルートディレクトリ“C:\www\secure1”
  SSLを使用するバーチャルホスト(クライアント認証あり):
   ポート番号“8443”、公開用ルートディレクトリ“C:\www\secure2”

AddModule mod_ihs_ssl.c

Listen 80
Listen 443
Listen 8443

SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile

<VirtualHost 192.168.0.1:80>
    ServerName main.example.com
    DocumentRoot C:/www/public
</VirtualHost>

<VirtualHost 192.168.0.1:443>
    ServerName main.example.com
    DocumentRoot C:/www/secure1
    SSLExec on
    SSLVersion 2
    SSLEnvDir d:/ssl/envdir
    SSLCertName cert_for_purchase
    CustomLog "|ihsrlog -s logs/accesslog_secure1 1 5" common
    ErrorLog "|ihsrlog -s logs/errorlog_secure1 1 5"
</VirtualHost>

<VirtualHost 192.168.0.1:8443>
    ServerName main.example.com
    DocumentRoot C:/www/secure2
    SSLExec on
    SSLVersion 2-3
    SSLVerifyClient require
    SSLEnvDir d:/ssl/envdir
    SSLCertName cert_for_manager
    SSLClCACertName CACert_InfoCA
    SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5
    CustomLog "|ihsrlog -s logs/accesslog_secure2 1 5" common
    ErrorLog "|ihsrlog -s logs/errorlog_secure2 1 5"
</VirtualHost>


 以下のような設定で運用を行う場合
  SSLを使用しないバーチャルホスト:
   ポート番号“80”、公開用ルートディレクトリ“/home/www/public”
  SSLを使用するバーチャルホスト(クライアント認証なし):
   ポート番号“443”、公開用ルートディレクトリ“/home/www/secure1”
  SSLを使用するバーチャルホスト(クライアント認証あり):
   ポート番号“8443”、公開用ルートディレクトリ“/home/www/secure2”
  証明書/鍵管理環境の構築を行ったユーザ“user1”
  証明書/鍵管理環境の構築を行ったグループ“group1”

AddModule mod_ihs_ssl.c

Listen 80
Listen 443
Listen 8443

User user1
Group group1

SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile

<VirtualHost 192.168.0.1:80>
    ServerName main.example.com
    DocumentRoot /home/www/public
</VirtualHost>

<VirtualHost 192.168.0.1:443>
    ServerName main.example.com
    DocumentRoot /home/www/secure1
    SSLExec on
    SSLVersion 2
    SSLEnvDir /home/ssl/envdir
    SSLCertName cert_for_purchase
    CustomLog "|/opt/FJSVihs/bin/ihsrlog -s /opt/FJSVihs/logs/accesslog_secure1 1 5" common
    ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s /opt/FJSVihs/logs/errorlog_secure1 1 5"
</VirtualHost>

<VirtualHost 192.168.0.1:8443>
    ServerName main.example.com
    DocumentRoot /home/www/secure2
    SSLExec on
    SSLVersion 2-3
    SSLVerifyClient require
    SSLEnvDir /home/ssl/envdir
    SSLCertName cert_for_manager
    SSLClCACertName CACert_InfoCA
    SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5
    CustomLog "|/opt/FJSVihs/bin/ihsrlog -s /var/opt/FJSVihs/logs/accesslog_secure2 1 5" common
    ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s /var/opt/FJSVihs/logs/errorlog_secure2 1 5"
</VirtualHost>

関連ディレクティブ

AddModule
CustomLog
DocumentRoot
ErrorLog
Group
Listen
Port
ServerAdmin
ServerName
SSLCertName
SSLClCACertName
SSLCipherSuite
SSLEnvDir
SSLExec
SSLSlotDir
SSLTokenLabel
SSLUserPINFile
SSLVerifyClient
SSLVersion
User
<VirtualHost>
目次 索引 前ページ次ページ
Copyright 2007 FUJITSU LIMITED