ページの先頭行へ戻る
Interstage Web Server Express セキュリティシステム運用ガイド
FUJITSU Software
第3部 SSLによる暗号化通信 > 第8章 Interstage HTTP ServerでSSLを利用する方法 > 8.2 SMEEコマンドで構築する証明書/鍵管理環境のSSL通信 > 8.2.3 Interstage HTTP Serverの環境設定
前次

8.2.3 Interstage HTTP Serverの環境設定

環境定義ファイル(httpd.conf)にSSL定義を設定して、Interstage HTTP ServerのSSL環境を設定します。
SSLは、以下のような運用を行うことができます。


Webサーバ全体のSSL定義

以下のような設定でSSL運用を行う場合

  • ポート番号「443」

  • SSLプロトコルバージョン「SSL3.0」または「SSL3.1」(TLS 1.0)

  • クライアント認証あり

  • スロット情報ディレクトリ「d:\ssl\slotdir」

  • トークンラベル「secret_key_tok」

  • ユーザPIN管理ファイル「d:\ssl\upinfile」

  • 運用管理ディレクトリ「d:\ssl\envdir」

  • サイト証明書のニックネーム「server_cert」

  • クライアントCA証明書のニックネーム「client_cert」

LoadModule ihs_ssl_module "C:/Interstage/F3FMihs/modules/mod_ihs_ssl.so"

Listen 443
ServerAdmin webmaster@main.example.com
ServerName main.example.com

SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile
SSLEnvDir d:/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5

以下のような設定でSSL運用を行う場合

  • ポート番号「443」

  • SSLプロトコルバージョン「SSL3.0」または「SSL3.1」(TLS 1.0)

  • クライアント認証あり

  • スロット情報ディレクトリ「/home/ssl/slotdir」

  • トークンラベル「secret_key_tok」

  • ユーザPIN管理ファイル「/home/ssl/upinfile」

  • 運用管理ディレクトリ「/home/ssl/envdir」

  • サイト証明書のニックネーム「server_cert」

  • クライアントCA証明書のニックネーム「client_cert」

  • 証明書/鍵管理環境の構築を行ったユーザ「user1」

  • 証明書/鍵管理環境の構築を行ったグループ「group1」

LoadModule ihs_ssl_module "/opt/FJSVihs/modules/mod_ihs_ssl.so"

Listen 443
ServerAdmin webmaster@main.example.com
ServerName main.example.com

User user1
Group group1

SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile
SSLEnvDir /home/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5

■バーチャルホスト内のSSL定義

以下のような設定で運用を行う場合

  • SSLを使用しないバーチャルホスト

    • ポート番号「80」

    • 公開用ルートディレクトリ「C:\www\public」

  • SSLを使用するバーチャルホスト(クライアント認証なし)

    • ポート番号「443」

    • 公開用ルートディレクトリ「C:\www\secure1」

  • SSLを使用するバーチャルホスト(クライアント認証あり)

    • ポート番号「8443」

    • 公開用ルートディレクトリ「C:\www\secure2」

LoadModule ihs_ssl_module "C:/Interstage/F3FMihs/modules/mod_ihs_ssl.so"

Listen 80
Listen 443
Listen 8443

SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile

<VirtualHost 192.168.0.1:80>
    ServerName main.example.com
    DocumentRoot C:/www/public
</VirtualHost>

<VirtualHost 192.168.0.1:443>
    ServerName main.example.com
    DocumentRoot C:/www/secure1
    SSLExec on
    SSLVersion 2
    SSLEnvDir d:/ssl/envdir
    SSLCertName cert_for_purchase
    CustomLog "|ihsrlog.exe -s logs/accesslog_secure1 1 5" ihs-analysis
    ErrorLog "|ihsrlog.exe -s logs/errorlog_secure1 1 5"
</VirtualHost>

<VirtualHost 192.168.0.1:8443>
    ServerName main.example.com
    DocumentRoot C:/www/secure2
    SSLExec on
    SSLVersion 3-3.1
    SSLVerifyClient require
    SSLEnvDir d:/ssl/envdir
    SSLCertName cert_for_manager
    SSLClCACertName CACert_InfoCA
    SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5
    CustomLog "|ihsrlog.exe -s logs/accesslog_secure2 1 5" ihs-analysis
    ErrorLog "|ihsrlog.exe -s logs/errorlog_secure2 1 5"
</VirtualHost>

以下のような設定で運用を行う場合

  • SSLを使用しないバーチャルホスト

    • ポート番号「80」

    • 公開用ルートディレクトリ「/home/www/public」

  • SSLを使用するバーチャルホスト(クライアント認証なし)

    • ポート番号「443」

    • 公開用ルートディレクトリ「/home/www/secure1」

  • SSLを使用するバーチャルホスト(クライアント認証あり)

    • ポート番号「8443」

    • 公開用ルートディレクトリ「/home/www/secure2」

  • 証明書/鍵管理環境の構築を行ったユーザ「user1」

  • 証明書/鍵管理環境の構築を行ったグループ「group1」

LoadModule ihs_ssl_module "/opt/FJSVihs/modules/mod_ihs_ssl.so"

Listen 80
Listen 443
Listen 8443

User user1
Group group1

SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile

<VirtualHost 192.168.0.1:80>
    ServerName main.example.com
    DocumentRoot /home/www/public
</VirtualHost>

<VirtualHost 192.168.0.1:443>
    ServerName main.example.com
    DocumentRoot /home/www/secure1
    SSLExec on
    SSLVersion 2
    SSLEnvDir /home/ssl/envdir
    SSLCertName cert_for_purchase
    CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog_secure1 1 5" ihs-analysis
    ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog_secure1 1 5"
</VirtualHost>

<VirtualHost 192.168.0.1:8443>
    ServerName main.example.com
    DocumentRoot /home/www/secure2
    SSLExec on
    SSLVersion 3-3.1
    SSLVerifyClient require
    SSLEnvDir /home/ssl/envdir
    SSLCertName cert_for_manager
    SSLClCACertName CACert_InfoCA
    SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4-MD5:RC2-MD5
    CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog_secure2 1 5" ihs-analysis
    ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog_secure2 1 5"
</VirtualHost>

注意

サイト証明書および認証局の証明書(発行局証明書)には、有効期限があります。この有効期限が切れた状態でWebサーバ運用を続行した場合、エラーメッセージ「ihs00504」/「ihs00505」が出力され、Webサーバの起動処理/通信処理を行うことができません。cmdspcertコマンドで証明書の有効期間を確認し、有効期限が切れる前に新しい証明書を取得して登録してください。証明書の登録方法については、「7.6 証明書/鍵管理環境の管理」の「証明書を新する(証明書の有効期限が切れる)場合」を参照してください。登録後は、Interstage HTTP Serverを再起動する必要があります。


なお、サイト証明書および認証局の証明書(発行局証明書)の有効期限が切れる前に、証明書の有効日数を通知する警告メッセージ「ihs00536」/「ihs00537」を、出力タイミングを指定して出力させることができます。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の定義例を以下に示します。

例)以下のタイミングで、サイト証明書および認証局の証明書(発行局証明書)の有効日数を通知する警告メッセージ「ihs00536」/「ihs00537」を出力させる場合

  • 証明書の有効期限が切れる15日前から有効期間満了日までの間のWebサーバ起動時

  • 証明書の有効期限が切れる10日前の9:30 (Webサーバ運用中)

  • 証明書の有効期限が切れる3日前の9:30 (Webサーバ運用中)

  • 証明書の有効期限が切れる1日前の9:30 (Webサーバ運用中)

    SSLCertExpire All 15 10,3,1:093000

参考

関連ディレクティブ


前次
Copyright 2002-2014 FUJITSU LIMITED