Apache-SSL

Apache-SSL

この日本語訳の公開を快諾していただいたBenに感謝します。

目次

主な特徴

• 商用、非商用共に無償で利用可能
• 世界的な128ビット暗号機能
• クライアント認証機能
• 全ソースコードを公開
• 拡張モジュラーＡＰＩ

What is Apache-SSL?

ダウンロード

Apache-SSL のソース・パッチは、以下の UK マスター配布サイトにあります:

• Oxford University.
• University of Cambridge Computer Laboratory and their mirrors.

FTP ミラーサイト:

• ftp://ftp.infoscience.co.jp/pub/Crypto/SSL/Apache-SSL/Apache-SSL (Japan)

• ftp://ftp.win.or.jp/pub/network/security/apache-ssl/Apache-SSL (Japan)
  
• ftp://ftp.replay.com/pub/crypto/apache/Apache-SSL (The Netherlands)
  
• ftp://ftp.sage-au.org.au/pub/network/security/apache-ssl/Apache-SSL (Australia)
  
• ftp://ftp.vwv.com/pub/crypto/SSL/Apache-SSL (South Africa)
  
• mirror.aarnet.edu.au (Australia)
  
• ftp://ftp.it.net.au/mirrors/crypto/SSL/Apache-SSL (Australia)
  
• ftp://ftp.funet.fi/pub/crypt/mirrors/ftp.ox.ac.uk/SSL/Apache-SSL (Finland)
  
• apache-ssl.raver.net (Canada)
  
• ftp://ftp.pca.dfn.de/pub/tools/net/sslapache/Apache-SSL (Germany)
  
• ftp://ftp.sekure.net/pub/apache-ssl (Sweden)
  
• ftp://ftp.clinet.fi/mirrors/ftp.apache-ssl.org/pub (Finland)
  

• mirror.aarnet.edu.au (Australia)
  
• ftp.it.net.au (Australia)
  

• RedHat、Caldera、TurboLinux のソースと .rpms は、そのサーバの contrib/rpms ディレクトリにあります。
  
• The FreeBSD の port: http://www.freebsd.org/ports/www.html.
  

何を入手したらいいですか？

アップグレード

バグ修正とパッチ

同じ箇所でもバグや問題のレポートは気軽にください。 でも私は何も約束しません。（私に費用を払わない限りは）

有償サポート

デジタル証明書

Apache-SSL は、次のデジタル証明書が利用できます:

• Thawte Consulting, at http://www.thawte.com/certs/server/request.html
• CertiSign Certificadora Digital Ltda., at http://www.certisign.com.br/
• IKS GmbH, at http://www.iks-jena.de/produkte/ca/
• BelSign NV/SA, at http://www.belsign.be/
• Verisign, Inc. at http://www.verisign.com/guide/apache/
• TC TrustCenter (Germany) at http://www.trustcenter.de/html/Produkte/TC_Server/855.htm
• NLsign B.V. at http://www.nlsign.nl/
• Deutsches Forschungsnetz at http://www.pca.dfn.de/dfnpca/certify/ssl/
• 128i Ltd. (New Zealand) at http://www.128i.com/
• Entrust.net Ltd. at http://www.entrust.net/products/index.htm
• Equifax Inc. at http://www.equifaxsecure.com/ebusinessid/

• もちろん、あなた自身でデジタル証明書を作ることもできます。

PGP 鍵

FAQ

https:でなくhttp:を使っているからです。本当です。

また、もしエラーログに

SSL_Accept failed error:140760EB:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol

パッチが当たりません。何が悪いの？

エラーの内容が:

$ patch < SSLpatch
  Looks like a new-style context diff.
File to patch:

この通りであれば、恐らく古いバージョンのpatchを使っています。バージョン2.1以降を探し出して、再度試してください。あるいは、"patch -p 1 < SSLpatch"を行う場合には新しい"改良された"バージョンのパッチ(例えば2.5)を使うのもいいでしょう。

HTTP のポートが 80 であることは知っていますが、HTTPS は？

どのポートでも HTTPS を走らせることができますが、デフォルトで対応するブラウザが見る標準指定ポートは 443 です。このように URL で指定することによって、ブラウザに異なったポートに見に行かせることができます:

https://secure.server.hell:666

同じマシンでセキュアとノンセキュアのサーバを走らせたいのですが、可能でしょうか？

これを行うには二つの方法があります: 二つのサーバデーモンを走らせるか、同じデーモンから両方のサービスを走らせるかです。 二つを走らせる(セキュアとノンセキュアの異なる製品を使うような)特別な理由がない限り、普通は単一のデーモンを走らせ、SSL を必要としないバーチャルホストの SSL を無効にします。もし二つのデーモンを走らせたいなら、それがそれぞれ割り当てられたポートにバインドだけを行うことを確認しなければなりません(普通はノンセキュアのポートが 80 で、セキュアが 443 です)。もし単一のデーモンを走らせたいなら、ここに example のコンフィグファイルがあります。

現在インストールされたサーバがありますが、テストの証明書はどうやって作りますか？

ステップ 1 - 鍵とリクエストを作ります:

  ssleay req -new > new.cert.csr

  ssleay rsa -in privkey.pem -out new.cert.key

   ssleay x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days 365

  SSLCertificateFile /path/to/certs/new.cert.cert
  SSLCertificateKeyFile /path/to/certs/new.cert.key

CGI からクライアントの証明書にアクセスするにはどうすれば良いでしょう？

apache_1.3.2+ssl_1.27 以上では、以下の命令を使うことができます:

  SSLExportClientCertificates

Apache-SSL に FrontPage98 Extensions をインストールするにはどうすれば良いでしょうか？

詳しくは、Bertrand Renuart によるウェブサイト http://www.itma.lu/howto/apache を見てください。

Verisign の証明書をインストールすると、なぜ"getca"や"getverisign"が見つからないのですか？

これは Verisign が Apache-SSL のための使用方法を提供していないせいです。もしあなたが Stronghold (SSL をサポートしている Apache 商用版) を使っていれば、教えてくれます。

あなたがするべきことは、証明書をファイルに保存して、そのパスを SSLCertificateFile directive で指定してやることです。鍵ファイルについても同じことをする必要があります(SSLCertificateKeyFile directive)。

よくあるコンパイル・エラー

  gcc -c  -I../os/unix -I../include -I/usr/local/ssl/include   -funsigned-char -DTARGET=\"httpsd\" -DAPACHE_SSL `../apaci` -DAPACHE_SSL buff.c
  buff.c: In function `ap_read':
  buff.c:259: structure has no member named `stats'
  buff.c:267: structure has no member named `stats'
  buff.c:268: structure has no member named `stats'
  buff.c:269: structure has no member named `stats'
  buff.c:271: structure has no member named `stats'
  buff.c: In function `ap_write':
  buff.c:346: warning: passing arg 2 of `SSL_write' discards `const' from pointer target type
  *** Error code 1

OpenSSL をアップグレードする必要があります。

Apache-SSL は Y2K に対応していますか？

Apache-SSL は基礎となっている構成要素になんらかのデータ処理を追加することはしないので、システム準拠全般には影響しません。メインの構成要素である Apache は このように言っています。OS、ハードウェア、使っているモジュールをチェックしてください。

メーリングリスト

単にアップグレードや新しいリリース、アナウンス情報だけなら、apache-sslannounce-help@lists.aldigital.co.uk です。

Apache-SSL は mod_ssl じゃありません。

Apache-SSL は安っぽい機能よりもむしろ、信頼性と安全性、パフォーマンスの維持に重点を置いた開発をしてきました。 誤解が解けたことを祈ります。(Adam Laurie).

リンク

• Peter Gutmann's Security and Encryption-related Resources and Links

• Andrew Ford's Apache/Apache-SSL Quick Reference Card

• Infoscience は http://japache.infoscience.co.jp/Apache-SSL/Apache-SSL.html で日本語のミラーを提供しています。

• Bilkent University, Ankara, Turkey, at http://sunsite.bcc.bilkent.edu.tr/pub/infosystems/apache-ssl/Index.html.

• raver.net, Canada, at http://apache-ssl.raver.net/.

• algroup, USA, at http://lynx.usa.algroup.co.uk/mirrors/www.apache-ssl.org/.

• instinct.org, Czech Republic, at http://www.instinct.org/apache-ssl/

翻訳・提供：Ｊａｐａｃｈｅ（インフォサイエンス）

Credits

Apache-SSL graphics courtesy of Jamie Harrison and The WoW Foundation, based on the original feather by Randy Terbush. Feel free to replicate.

A.L. Digital Ltd. participate in the Distributed Net encryption cracking efforts, as do many of our friends. To see how our team is doing, click the team logo above. To read more about the project, click on the banner above. To join our team, affiliate yourself with team no. 5209. For your personal privacy, the team membership listing is not open to the public, and we promise not to use it ourselves. For anything.