Apache-SSL

Last updated: September 20, 1999


このドキュメントは

Apache-SSL

Ben Laurie ben@algroup.co.uk

の日本語訳です。 オリジナルのドキュメントははこれより新しくなっている可能性がありますのでhttp://www.apache-ssl.org/を見て下さい。
日本語訳に関する責任はインフォサイエンス(株)にあります。日本語訳に関する質問、誤訳の指摘などは japache@infoscience.co.jp まで御連絡ください。

この日本語訳の公開を快諾していただいたBenに感謝します。

Scrambling for Safety 3.5 - Thursday September 23 1999
This will be the second conference of 1999, and has been called in response to the exceptional circumstance of two official DTI consultations in the same year, and the Home Office's recent consultation on revising the Interception of Communications Act to cover the Internet.

目次


主な特徴

What is Apache-SSL?

Apache-SSLはApacheSSLeay をベースにしたセキュリティのあるウェブサーバです。 Apache-SSLはBSDスタイルのライセンス に基づいており、その意味は、要するにあなたが著作権掲示を維持する限り、 商用、非商用に限らず自由に利用できる(サーバを使用する前に SSLeay は合法的ですか?(よくある質問) を読むことをお勧めします)ということです。 これは、Apacheバージョン0.8.15以降と同じライセンスの内容です。

ダウンロード

最新版: apache_1.3.12+ssl_1.39
リリース: March 6, 2000

openssl-0.9.4ここにあります。

Apache-SSL のソース・パッチは、以下の UK マスター配布サイトにあります:

FTP ミラーサイト:

HTTP ミラーサイト:

O/S 特定バージョン:

何を入手したらいいですか?

必要なものは、 Apache のためのパッチのセット(バージョン 1.2.0+ と 1.3.0+ が入手できます)と、いくつかの追加ソースファイル、少々の README、コンフィギュレーションファイルのサンプルです。パッチは Apache のソースに当てられてコンパイルされ、SSLeay (version 0.5.1b+)OpenSSL にリンクします。パッチが充てられたソースは Apache-SSL と共に、標準の Apaceh もコンパイルします。

アップグレード

アップグレードを確認する最適な方法は、新しいバージョンのアナウンスをするメーリングリストに入ることです。

バグ修正とパッチ

ben@algroup.co.uk にどんなバグ修正あるいは拡張でも送ってください。

同じ箇所でもバグや問題のレポートは気軽にください。 でも私は何も約束しません。(私に費用を払わない限りは)

有償サポート

ApacheとApache-SSLについて有償サポートが可能です。 興味があれば、Emailをben@algroup.co.uk まで送ってください。

デジタル証明書

以下の会社はリンクの要請があったものです。私はこれらの組織に関して推薦、推奨をしません。これらの組織と私自身はなんの関係もありません。これは要請のあった順番でリストされています。

Apache-SSL は、次のデジタル証明書が利用できます:

PGP 鍵

私的なメールを送りたいなら、私の PGP 鍵がここ にあります。 どうか、本当に必要な時だけ使ってください;私はパスワードを入力するのが いやなんです。

FAQ

ブラウザで Apache-SSL につなげた時に、停まってしまうのはなぜ?

https:でなくhttp:を使っているからです。本当です。

また、もしエラーログに

SSL_Accept failed error:140760EB:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
があれば、それも同じです。

パッチが当たりません。何が悪いの?

エラーの内容が:

$ patch < SSLpatch
  Looks like a new-style context diff.
File to patch:

この通りであれば、恐らく古いバージョンのpatchを使っています。バージョン2.1以降を探し出して、再度試してください。あるいは、"patch -p 1 < SSLpatch"を行う場合には新しい"改良された"バージョンのパッチ(例えば2.5)を使うのもいいでしょう。

HTTP のポートが 80 であることは知っていますが、HTTPS は?

どのポートでも HTTPS を走らせることができますが、デフォルトで対応するブラウザが見る標準指定ポートは 443 です。このように URL で指定することによって、ブラウザに異なったポートに見に行かせることができます:

https://secure.server.hell:666

同じマシンでセキュアとノンセキュアのサーバを走らせたいのですが、可能でしょうか?

これを行うには二つの方法があります: 二つのサーバデーモンを走らせるか、同じデーモンから両方のサービスを走らせるかです。 二つを走らせる(セキュアとノンセキュアの異なる製品を使うような)特別な理由がない限り、普通は単一のデーモンを走らせ、SSL を必要としないバーチャルホストの SSL を無効にします。もし二つのデーモンを走らせたいなら、それがそれぞれ割り当てられたポートにバインドだけを行うことを確認しなければなりません(普通はノンセキュアのポートが 80 で、セキュアが 443 です)。もし単一のデーモンを走らせたいなら、ここに example のコンフィグファイルがあります。

現在インストールされたサーバがありますが、テストの証明書はどうやって作りますか?

ステップ 1 - 鍵とリクエストを作ります:

  ssleay req -new > new.cert.csr
ステップ 2 - 鍵からパスフレーズを外します (オプション):

  ssleay rsa -in privkey.pem -out new.cert.key
ステップ 3 - リクエストをサインされた証明書に変換します:

   ssleay x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days 365
生じた証明書を使う必要のある apache-ssl の命令:

  SSLCertificateFile /path/to/certs/new.cert.cert
  SSLCertificateKeyFile /path/to/certs/new.cert.key

CGI からクライアントの証明書にアクセスするにはどうすれば良いでしょう?

apache_1.3.2+ssl_1.27 以上では、以下の命令を使うことができます:

  SSLExportClientCertificates
これはクライアントの証明書の内容を含んだ環境変数を作ります。詳細についてはマニュアルの SSLExportClientCertificates セクションを見てください。実際に動いているものがあります: https://www.apache-ssl.org/cgi/cert-export

Apache-SSL に FrontPage98 Extensions をインストールするにはどうすれば良いでしょうか?

詳しくは、Bertrand Renuart によるウェブサイト http://www.itma.lu/howto/apache を見てください。

Verisign の証明書をインストールすると、なぜ"getca"や"getverisign"が見つからないのですか?

これは Verisign が Apache-SSL のための使用方法を提供していないせいです。もしあなたが Stronghold (SSL をサポートしている Apache 商用版) を使っていれば、教えてくれます。

あなたがするべきことは、証明書をファイルに保存して、そのパスを SSLCertificateFile directive で指定してやることです。鍵ファイルについても同じことをする必要があります(SSLCertificateKeyFile directive)。

よくあるコンパイル・エラー

  gcc -c  -I../os/unix -I../include -I/usr/local/ssl/include   -funsigned-char -DTARGET=\"httpsd\" -DAPACHE_SSL `../apaci` -DAPACHE_SSL buff.c
  buff.c: In function `ap_read':
  buff.c:259: structure has no member named `stats'
  buff.c:267: structure has no member named `stats'
  buff.c:268: structure has no member named `stats'
  buff.c:269: structure has no member named `stats'
  buff.c:271: structure has no member named `stats'
  buff.c: In function `ap_write':
  buff.c:346: warning: passing arg 2 of `SSL_write' discards `const' from pointer target type
  *** Error code 1

OpenSSL をアップグレードする必要があります。

Apache-SSL は Y2K に対応していますか?

Apache-SSL は基礎となっている構成要素になんらかのデータ処理を追加することはしないので、システム準拠全般には影響しません。メインの構成要素である Apache は このように言っています。OS、ハードウェア、使っているモジュールをチェックしてください。

メーリングリスト

二つの Apache-SSL メーリングリストがあります。Apache-SSL ユーザのためのサポートと質問についてのメーリングリストは apache-ssl-help@lists.aldigital.co.uk に空メールを送ってください。これは任意で質問の返答を得る一番の近道です。しかし、質問をする前に、archive で、その質問がまだ成されていないことを確認してください。

単にアップグレードや新しいリリース、アナウンス情報だけなら、apache-sslannounce-help@lists.aldigital.co.uk です。

Apache-SSL は mod_ssl じゃありません。

Apache-SSL と mod_ssl の関係に誤解があるようです。 事実関係を明確にすれば: mod_ssl は Apache-SSL の置き換えではありません- つまり選択肢です。Apache と Netscape/Microsoft servers、Linux と FreeBSD のように選択肢があるのと同じ事です。どちらを使うかは個人の自由です。mod_ssl は 'split' として知られています - 言い換えれば、オリジナルは Apache-SSL ですが、広範囲にわたって再開発されたので、コードはオリジナルと殆ど関係ありません。

Apache-SSL は安っぽい機能よりもむしろ、信頼性と安全性、パフォーマンスの維持に重点を置いた開発をしてきました。 誤解が解けたことを祈ります。(Adam Laurie).

リンク

その他の関係するウェブページ:

ミラー・ウェブサイト


オリジナル:英文

翻訳・提供:Japache(インフォサイエンス)

検索文字

Credits

Apache-SSL was written by Ben Laurie, who is also an Apache core team member, and an OpenSSL core team member.
The development of Apache-SSL is sponsored by A.L. Digital Ltd., and this site is hosted by them.
Info on FTP mirror sites, CAs, Links, etc., should be sent to: The Web Slaves.
This server is , which is .

Apache-SSL graphics courtesy of Jamie Harrison and The WoW Foundation, based on the original feather by Randy Terbush. Feel free to replicate.



Team A.L. Digital && Apache-SSL Distributed Computing

A.L. Digital Ltd. participate in the Distributed Net encryption cracking efforts, as do many of our friends. To see how our team is doing, click the team logo above. To read more about the project, click on the banner above. To join our team, affiliate yourself with team no. 5209. For your personal privacy, the team membership listing is not open to the public, and we promise not to use it ourselves. For anything.



Copyright © 1995,6,7,8,9 Ben Laurie, Adam Laurie.