[an error occurred while processing this directive]

Apache-SSLの命令

多くのSSLオプションはバーチャルホストに適用することが出来ます。
  • ServerType
  • Port
  • SSLDisable
  • SSLCACertificatePath
  • SSLCACertificateFile
  • SSLCertificateFile
  • SSLCertificateKeyFile
  • SSLVerifyClient
  • SSLVerifyDepth
  • SSLFakeBasicAuth
  • SSLLogFile
  • SSLRequiredCiphers
  • SSLRequireCipher
  • SSLBanCipher

  • ServerType命令

    Syntax: ServerType type
    Default: ServerType standalone
    Context: server config
    Status: core

    現在、SSLサーバはstandaloneでないと動作しません。


    Port命令

    Syntax: Port number
    Default: Port 443
    Context: server config
    Status: core

    Port命令はhttpsdサーバが起動するときのネットワークポート番号を設定します。
    既定値はhttpの80とは異なりhttpsは443です。


    SSLDisable

    Syntax: SSLDisable
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    この命令を記述するとSSLが無効になります。 この機能はバーチャルホストを運用していて、 セキュアサーバとそうでないサーバを運用する際に役立ちます。


    SSLCACertificatePath

    Syntax: SSLCACertificatePath directory
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    認証局の公開鍵を格納するディレクトリ・パス名。 PEMエンコード形式であること。 (getenv("SSL_CERT_DIR")も加える、と思う)


    SSLCACertificateFile

    Syntax: SSLCACertificateFile filename
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    認証局の公開鍵を格納しているファイル名。 PEMエンコード形式でなければいけません。 クライアントを制御するために使用します。 (getenv("SSL_CERT_FILE")も加える、と思う)


    SSLCertificateFile

    Syntax: SSLCertificateFile filename
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    証明書のファイルをさします。 これは著名なエンコード規約(DER)で、またASCIIキャラクタで守られており、 Webを越えて普及するでしょう。 証明書が暗号化されていると、パスフェーズの入力を要求されます。 kill -1 を行うと、再度確認されるので気を付けてください。 テスト用の証明書は"make certificate"を実行して作ることが出来ます。


    SSLCertificateKeyFile

    Syntax: SSLCertificateKeyFile filename
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    これはサーバの認証のプライベートキー(秘密鍵)です。 プライベートキーが、証明書と同じファイルに入っていない時は、 プライベートキーを指すためにこの命令を使ってください。
    ディレクトリは、ルート"/"から始まる時は絶対パスです。 ルート"/"から始まらないときは SSLeayで設定した証明書ディレクトリからの相対的なパスです。 すなわち、"/usr/local/ssl/private"または、 "[SSLeayのインストール先]/private/"となります。


    SSLVerifyClient

    Syntax: SSLVerifyClient number
    Context: server config, virtual host
    Default: SSLVerifyClient 0
    Status: Base
    Module: apache_ssl

    この命令は、クライアントに対して何を確認するかを設定します。


    SSLVerifyDepth

    Syntax: SSLVerifyDepth number
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    合法的な証明書を持っていないと判断する前に、どれだけ深く照合を行うかを 指定します。 現実には、我々が扱っている証明書は、上位の別の認証局(CA)が信頼して 法的に認めた認証局が発行してます。 この様にして、ルートの認証局まで戻ります。 この命令は、あきらめる前にどれだけ、上位または下位の認証局を辿るかを 指定します。 確認をあきらめた時の動作は、"SSLVerifyClient"によって決定されます。


    SSLFakeBasicAuth

    Syntax: SSLFakeBasicAuth
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    クライアントのX509を基本的な認証(Basic authorisation)に変換します。 これは標準のAuth/DBMAuthメソッドがアクセス制御に使えることを意味しています。 ユーザ名は、クライアントのX509証明書の1行目のバージョンから得ます。 パスワードが無い時はユーザ名が得られないことに注意してください。 すべてのユーザーファイルの中の項目が このパスワードを必要とします: xxj31ZMTZzkVA
    ソースコードは事前にパスワードを設定しています。 これ以上の説明はソースコードを見てください。 この方式とSSLVerifyClientを使うと、認証結果をログの中で確認することが 出来ます。 暗号はシステム毎に異なるので、ユーザファイルはhtpasswdコマンドで 生成する方が良いです。


    SSLLogFile

    Syntax: SSLLogFile filename
    Context: server config, virtual host
    Status: Base
    Module: apache_ssl

    SSLが出力するログファイルを指定します。 その中の多くの項目が、エラーログファイル(〜/logs/error_log) にも出力されます。


    SSLRequiredCiphers

    Syntax: SSLRequiredCiphers clipher list
    Context: server config
    Status: Base
    Module: apache_ssl

    この命令はコロンで区切られた下記の文字列にあるサイファーセットの リストを設定します。これはSSLeayの制限に使います。 これは単一サーバ用のオプションです。

    "NULL-MD5"
    "RC4-MD5"
    "EXP-RC4-MD5"
    "RC2-CBC-MD5"
    "EXP-RC2-CBC-MD5"
    "IDEA-CBC-MD5"
    "DES-CBC-MD5"
    "DES-CBC-SHA"
    "DES-CBC3-MD5"
    "DES-CBC3-SHA"
    "DES-CFB-M1"
    "NULL"


    SSLRequireCipher

    Syntax: SSLRequireCipher clipher list
    Context: server config
    Status: Base
    Module: apache_ssl

    この命令はコロンで区切られたサイファーセットのリストを設定します。 コネクションが確立した後にサイファーの確認で用います。 これは単一サーバ用のオプションです。


    SSLBanCipher

    Syntax: SSLBanCipher clipher list
    Context: server config
    Status: Base
    Module: apache_ssl

    この命令はコロンで区切られたサイファーセットのリストを、 SSLRequireCipherと同じように設定し、それ以外のものを禁止します。
    こんな風に動きます。:
    もし禁止する(SSLBanCipher)なら、接続拒否;
    もし要求する(SSLRequireCipher)なら、接続を許可;
    もし、サイファーのリストがなければ、接続を許可


    検索文字
    このJAPACHE!ニュースグループへ
    ( japache.Apache-SSL.conf ) | JAPACHE!ニュースについて | JAPACHE!ホームページへ

    このページの情報に関わる、ご質問、お問い合わせは、 japache@infoscience.co.jpまで。


    Index Home