第 3 章 環境設定
3.10 SSL の設定
3.10.1 Interstage証明書環境のSSL通信
Interstage証明書環境のSSL通信を利用する場合の環境設定手順を、以下に示します。
1. Interstage証明書環境を構築します。Interstage証明書環境の構築については、「セキュリティシステム運用ガイド」
の「Interstage証明書環境の構築と利用」を参照してください。
2. 環境定義ファイル(httpd.conf)を設定します。詳細については、「環境設定ファイル(httpd.conf)の設定」を参照し てください。
■環境設定ファイル(httpd.conf)の設定
SSL環境は、Webサーバ全体またはバーチャルホストごとに設定できます。
Webサーバ全体/バーチャルホストごとの設定に応じたバーチャルホストの設定例を以下に示します。
・ Webサーバ全体のSSL定義
・ バーチャルホストごとのSSL定義
SSLを使用しない通信とSSLを使用する通信を同時に運用できます。
Webサーバ全体のSSL定義
例
以下のような設定でSSL運用を行う場合
・ ポート番号「443」
・ サーバの管理者のEmailアドレス「[email protected]」
・ サーバのホスト名「main.example.com」
・ SSL定義名「SSL」
LoadModule ahs_ssl_module "C:/Interstage/F3FMahs/modules/mod_ahs_ssl.so"
Listen 443
ServerAdmin [email protected] ServerName main.example.com
SSLConfName SSL
以下のような設定でSSL運用を行う場合
・ ポート番号「443」
・ サーバの管理者のEmailアドレス「[email protected]」
・ サーバのホスト名「main.example.com」
・ Interstage証明書環境の所有グループに登録したユーザ(注)のユーザID「user1」
・ Interstage証明書環境の所有グループに登録したユーザ(注)のグループID「group1」
・ SSL定義名「SSL」
注)Interstage証明書環境のアクセス権限の設定時に作成したグループに登録したユーザです。詳細については、「セ
キュリティシステム運用ガイド」の「Interstage証明書環境の構築と利用」-「環境の構築方法」-「Interstage証明書環境の アクセス権限の設定」を参照してください。
LoadModule ahs_ssl_module /opt/FJSVahs/modules/mod_ahs_ssl.so Listen 443
ServerAdmin [email protected] ServerName main.example.com
User user1 Group group1 SSLConfName SSL
バーチャルホストごとのSSL定義
例
以下のような設定で運用を行う場合
・ SSLを使用しないバーチャルホスト
- ポート番号「80」
- サーバのホスト名「main.example.com」
- 公開用ルートディレクトリ「C:\www\public」
・ SSLを使用するバーチャルホスト
- ポート番号「443」
- サーバのホスト名「main.example.com」
- 公開用ルートディレクトリ「C:\www\secure1」
- SSL定義名「SSL1」
- アクセスログのログファイル名「C:\Interstage\F3FMahs\logs\accesslog_secure1」
- エラーログのログファイル名「C:\Interstage\F3FMahs\logs\errorlog_secure1」
・ SSLを使用するバーチャルホスト
- ポート番号「8443」
- サーバのホスト名「main.example.com」
- 公開用ルートディレクトリ「C:\www\secure2」
- SSL定義名「SSL2」
- アクセスログのログファイル名「C:\Interstage\F3FMahs\logs\accesslog_secure2」
- エラーログのログファイル名「C:\Interstage\F3FMahs\logs\errorlog_secure2」
LoadModule ahs_ssl_module "C:/Interstage/F3FMahs/modules/mod_ahs_ssl.so"
Listen 80 Listen 443 Listen 8443
<VirtualHost 192.168.0.1:80>
ServerName main.example.com DocumentRoot C:/www/public
</VirtualHost>
<VirtualHost 192.168.0.1:443>
ServerName main.example.com DocumentRoot C:/www/secure1 SSLConfName SSL1
CustomLog "||\"C:/Interstage/F3FMahs/bin/ahsrlog.exe\" -s \"C:/Interstage/F3FMahs/logs/
accesslog_secure1\" 1 5" ahs-analysis
ErrorLog "||\"C:/Interstage/F3FMahs/bin/ahsrlog.exe\" -s \"C:/Interstage/F3FMahs/logs/errorlog_secure1\"
1 5"
</VirtualHost>
<VirtualHost 192.168.0.1:8443>
ServerName main.example.com DocumentRoot C:/www/secure2 SSLConfName SSL2
CustomLog "||\"C:/Interstage/F3FMahs/bin/ahsrlog.exe\" -s \"C:/Interstage/F3FMahs/logs/
accesslog_secure2\" 1 5" ahs-analysis
ErrorLog "||\"C:/Interstage/F3FMahs/bin/ahsrlog.exe\" -s \"C:/Interstage/F3FMahs/logs/errorlog_secure2\"
1 5"
</VirtualHost>
以下のような設定で運用を行う場合
・ Interstage証明書環境の所有グループに登録したユーザ(注)のユーザID「user1」
・ Interstage証明書環境の所有グループに登録したユーザ(注)のグループID「group1」
・ SSLを使用しないバーチャルホスト
- ポート番号「80」
- サーバのホスト名「main.example.com」
- 公開用ルートディレクトリ「/home/www/public」
・ SSLを使用するバーチャルホスト
- ポート番号「443」
- サーバのホスト名「main.example.com」
- 公開用ルートディレクトリ「/home/www/secure1」
- SSL定義名「SSL1」
- アクセスログのログファイル名「/opt/FJSVahs/logs/accesslog_secure1」
- エラーログのログファイル名「/opt/FJSVahs/logs/errorlog_secure1」
・ SSLを使用するバーチャルホスト
- ポート番号「8443」
- サーバのホスト名「main.example.com」
- 公開用ルートディレクトリ「/home/www/secure2」
- SSL定義名「SSL2」
- アクセスログのログファイル名「/opt/FJSVahs/logs/accesslog_secure2」
- エラーログのログファイル名「/opt/FJSVahs/logs/errorlog_secure2」
注)Interstage証明書環境のアクセス権限の設定時に作成したグループに登録したユーザです。詳細については、「セ キュリティシステム運用ガイド」の「Interstage証明書環境の構築と利用」-「環境の構築方法」-「Interstage証明書環境の アクセス権限の設定」を参照してください。
LoadModule ahs_ssl_module /opt/FJSVahs/modules/mod_ahs_ssl.so Listen 80
Listen 443 Listen 8443 User user1 Group group1
<VirtualHost 192.168.0.1:80>
ServerName main.example.com DocumentRoot /home/www/public
</VirtualHost>
<VirtualHost 192.168.0.1:443>
ServerName main.example.com
DocumentRoot /home/www/secure1 SSLConfName SSL1
CustomLog "|/opt/FJSVahs/bin/ahsrlog -s /opt/FJSVahs/logs/accesslog_secure1 1 5" ahs-analysis ErrorLog "|/opt/FJSVahs/bin/ahsrlog -s /opt/FJSVahs/logs/errorlog_secure1 1 5"
</VirtualHost>
<VirtualHost 192.168.0.1:8443>
ServerName main.example.com DocumentRoot /home/www/secure2 SSLConfName SSL2
CustomLog "|/opt/FJSVahs/bin/ahsrlog -s /opt/FJSVahs/logs/accesslog_secure2 1 5" ahs-analysis ErrorLog "|/opt/FJSVahs/bin/ahsrlog -s /opt/FJSVahs/logs/errorlog_secure2 1 5"
</VirtualHost>
注意
サイト証明書および認証局の証明書(発行局証明書)の有効期限について
サイト証明書および認証局の証明書(発行局証明書)には、有効期限があります。この有効期限が切れた状態でWeb サーバ運用を続行した場合、エラーメッセージ「ahs00504」/「ahs00505」が出力され、Webサーバの起動処理/通信処 理を行うことができません。Interstage管理コンソールの以下の画面で証明書の有効期間を確認して、有効期限が切れる 前に新しい証明書を取得して登録してください。
・ [システム] > [セキュリティ] > [証明書] > [認証局証明書]画面
・ [システム] > [セキュリティ] > [証明書] > [サイト証明書]画面
証明書の登録方法については、「セキュリティシステム運用ガイド」の「Interstage証明書環境の構築と利用」-「証明書の 管理」の「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。登録後は、Webサーバを再起動す る必要があります。
なお、サイト証明書および認証局の証明書(発行局証明書)の有効期限が切れる前に、証明書の有効日数を通知する 警告メッセージ「ahs00536」/「ahs00537」を、出力タイミングを指定して出力させることができます。環境定義ファイル (httpd.conf)の定義例を以下に示します。
例)以下のタイミングで、サイト証明書および認証局の証明書(発行局証明書)の有効日数を通知する警告メッセージを 出力させる場合
・ 証明書の有効期限が切れる15日前から有効期間満了日までの間のWebサーバ起動時
・ 証明書の有効期限が切れる10日前の9:30(Webサーバ運用中)
・ 証明書の有効期限が切れる3日前の9:30(Webサーバ運用中)
・ 証明書の有効期限が切れる1日前の9:30(Webサーバ運用中)
SSLCertExpire All 15 10,3,1:093000
参考
関連ディレクティブ
・ CustomLog
・ DocumentRoot
・ ErrorLog
・ Group
・ Listen
・ LoadModule
・ ServerAdmin
・ ServerName
・ SSLCertExpire
・ SSLConfName
・ User
・ <VirtualHost>