13.3 環境定義ファイルの設定

Interstage HTTP Serverの環境定義ファイル(httpd.conf)にSSLの設定を行います。
SSLの運用では、一般的な運用(クライアント認証あり／クライアント認証なし)に加え、バーチャルホスト機能を併用して設定することでSSLを使用しない通信とSSLを使用する通信を同時に行うことができます。それぞれのInterstage HTTP Serverの環境定義ファイル(httpd.conf)の定義例を以下に示します。

■一般的なSSLの運用

以下のような設定でSSL運用を行う場合

ポート番号“443”
SSLプロトコルバージョン“SSL3.0”または“SSL3.1”（TLS 1.0）
クライアント認証あり
スロット情報ディレクトリ“d:\ssl\slotdir”
トークンラベル“secret_key_tok”
ユーザPIN管理ファイル“d:\ssl\upinfile”
運用管理ディレクトリ“d:\ssl\envdir”
サイト証明書のニックネーム“server_cert”

クライアントCA証明書のニックネーム“client_cert”

LoadModule ihs_ssl_module "C:/Interstage/F3FMihs/modules/mod_ihs_ssl.so"

Listen 443
ServerAdmin webmaster@main.example.com
ServerName main.example.com

SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile
SSLEnvDir d:/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5

以下のような設定でSSL運用を行う場合

ポート番号“443”
SSLプロトコルバージョン“SSL3.0”または“SSL3.1”（TLS 1.0）
クライアント認証あり
スロット情報ディレクトリ“/home/ssl/slotdir”
トークンラベル“secret_key_tok”
ユーザPIN管理ファイル“/home/ssl/upinfile”
運用管理ディレクトリ“/home/ssl/envdir”
サイト証明書のニックネーム“server_cert”
クライアントCA証明書のニックネーム“client_cert”
証明書／鍵管理環境の構築を行ったユーザ“user1”

証明書／鍵管理環境の構築を行ったグループ“group1”

LoadModule ihs_ssl_module "/opt/FJSVihs/modules/mod_ihs_ssl.so"

Listen 443
ServerAdmin webmaster@main.example.com
ServerName main.example.com

User user1
Group group1

SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile
SSLEnvDir /home/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5

■バーチャルホスト機能を併用したSSLの運用

以下のような設定で運用を行う場合

SSLを使用しないバーチャルホスト
- ポート番号“80”
- 公開用ルートディレクトリ“C:\www\public”
SSLを使用するバーチャルホスト(クライアント認証なし)
- ポート番号“443”
- 公開用ルートディレクトリ“C:\www\secure1”

SSLを使用するバーチャルホスト(クライアント認証あり)

ポート番号“8443”

公開用ルートディレクトリ“C:\www\secure2”

LoadModule ihs_ssl_module "C:/Interstage/F3FMihs/modules/mod_ihs_ssl.so"

Listen 80
Listen 443
Listen 8443

SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile

<VirtualHost 192.168.0.1:80>
    ServerName main.example.com
    DocumentRoot C:/www/public
</VirtualHost>

<VirtualHost 192.168.0.1:443>
    ServerName main.example.com
    DocumentRoot C:/www/secure1
    SSLExec on
    SSLVersion 2
    SSLEnvDir d:/ssl/envdir
    SSLCertName cert_for_purchase
    CustomLog "|ihsrlog.exe -s logs/accesslog_secure1 1 5" ihs-analysis
    ErrorLog "|ihsrlog.exe -s logs/errorlog_secure1 1 5"
</VirtualHost>

<VirtualHost 192.168.0.1:8443>
    ServerName main.example.com
    DocumentRoot C:/www/secure2
    SSLExec on
    SSLVersion 3-3.1
    SSLVerifyClient require
    SSLEnvDir d:/ssl/envdir
    SSLCertName cert_for_manager
    SSLClCACertName CACert_InfoCA
    SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5
    CustomLog "|ihsrlog.exe -s logs/accesslog_secure2 1 5" ihs-analysis
    ErrorLog "|ihsrlog.exe -s logs/errorlog_secure2 1 5"
</VirtualHost>

以下のような設定で運用を行う場合

SSLを使用しないバーチャルホスト
- ポート番号“80”
- 公開用ルートディレクトリ“/home/www/public”
SSLを使用するバーチャルホスト(クライアント認証なし)
- ポート番号“443”
- 公開用ルートディレクトリ“/home/www/secure1”
SSLを使用するバーチャルホスト(クライアント認証あり)
- ポート番号“8443”
- 公開用ルートディレクトリ“/home/www/secure2”
証明書／鍵管理環境の構築を行ったユーザ“user1”

証明書／鍵管理環境の構築を行ったグループ“group1”

LoadModule ihs_ssl_module "/opt/FJSVihs/modules/mod_ihs_ssl.so"

Listen 80
Listen 443
Listen 8443

User user1
Group group1

SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile

<VirtualHost 192.168.0.1:80>
    ServerName main.example.com
    DocumentRoot /home/www/public
</VirtualHost>

<VirtualHost 192.168.0.1:443>
    ServerName main.example.com
    DocumentRoot /home/www/secure1
    SSLExec on
    SSLVersion 2
    SSLEnvDir /home/ssl/envdir
    SSLCertName cert_for_purchase
    CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog_secure1 1 5" ihs-analysis
    ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog_secure1 1 5"
</VirtualHost>

<VirtualHost 192.168.0.1:8443>
    ServerName main.example.com
    DocumentRoot /home/www/secure2
    SSLExec on
    SSLVersion 3-3.1
    SSLVerifyClient require
    SSLEnvDir /home/ssl/envdir
    SSLCertName cert_for_manager
    SSLClCACertName CACert_InfoCA
    SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5
    CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog_secure2 1 5" ihs-analysis
    ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog_secure2 1 5"
</VirtualHost>