Top過去ログ目次掲示板

作成日:2003年10月13日 作成:おやじ
掲示板で過去に質問された内容です。

No.1692 お礼&SSLについてご教授ください


No.1692 投稿時間:2003年10月13日(Mon) 09:56 投稿者名:tk URL:
タイトル:お礼&SSLについてご教授ください

おやじ様

初めまして、tkと申します。
私も2000年からドメインをとり、自宅サーバーを構築しております。
サーバーもメールサーバーのEMWACからはじまって現在は他の物に
落ち着いています。今ではWEBメールも設定し運用しております。
(海外に行くことが多いので非常に便利です)

ところで、先日サーバーのRAIDの調子が悪く、HDD+ボードの交換
の必要性が発生したため、今回はapache(WIN3版)をSSL対応させよう
といろいろ調べていたら、おやじ様のサイトにたどり着きました。
すごいですね!!
早速参考にさせていただきました。

SSLに関してですが、私も以前(WIN版1.3.26時代)から挑戦して
いましたが、あまりうまくいかず、今回apache2シリーズで初めて
動きました。おやじ様の情報でサーバー構築で非常に役に立ちました。
ありがとうございました。

ただ、1点分からないことがありますので、このBBSをごらんになっている
方でご存知の方がいらっしゃいましたら、ご教授いただければと思います。

1台のサーバーで今までは以下のような運用をしていました。(apache1.3.27)
SSLなし
メイン
www.abc.com
 エイリアス /aaa
 エイリアス /bbb

バーチャルホスト

www.abc.com 
www.opq.com
www.xyz.com

これで、3度ドメイン全て見れていました
(エイリアスもOK)

今回Apache_2.0.46-Openssl_0.9.7c-Win32.zipでSSL環境を構築しました。
過去ログから、同じドメインでサブドメインが違うものもIPベースでないと
バーチャルホストはNGとありましたが、
完全にドメインが違うものもNGなのでしょうか?
今回SSLしたいのはメインのwww.abc.comのみです。
また、3ドメインともSSL鍵を1ファイルで作成することは可能なのでしょうか?


No.1693 投稿時間:2003年10月13日(Mon) 10:30 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:IPベースでないと仕組み上無理です。

こんにちは。

> SSLに関してですが、私も以前(WIN版1.3.26時代)から挑戦して
> いましたが、あまりうまくいかず、今回apache2シリーズで初めて
> 動きました。おやじ様の情報でサーバー構築で非常に役に立ちました。
> ありがとうございました。

 よかったですね。

> ただ、1点分からないことがありますので、このBBSをごらんになっている
> 方でご存知の方がいらっしゃいましたら、ご教授いただければと思います。
>
> 1台のサーバーで今までは以下のような運用をしていました。(apache1.3.27)
> SSLなし
> メイン
> www.abc.com
>  エイリアス /aaa
>  エイリアス /bbb
>
> バーチャルホスト
>
> www.abc.com 
> www.opq.com
> www.xyz.com
>
> これで、3度ドメイン全て見れていました
> (エイリアスもOK)
>
> 今回Apache_2.0.46-Openssl_0.9.7c-Win32.zipでSSL環境を構築しました。
> 過去ログから、同じドメインでサブドメインが違うものもIPベースでないと
> バーチャルホストはNGとありましたが、
> 完全にドメインが違うものもNGなのでしょうか?
> 今回SSLしたいのはメインのwww.abc.comのみです。

 今、まさにおやじが挑戦中のアイテムですね。残念ながら、ApacheのVirtualHost
のドキュメントにあるとおり、IPベースでないとSSL対応はできません。下記も関係しますが
名前ベースのバーチャルホストでは、アクセスしてきたホスト名をベースにApacheが制御
しますが、SSLセキュアサーバではSSLでの認証が先に走るため使えません。

> また、3ドメインともSSL鍵を1ファイルで作成することは可能なのでしょうか?

 SSLの鍵にホスト名があり、これが不一致になるので毎回エラーが出てしまいます。

 基本的な動作確認は終わったのですが、HPには載せていない設定をいろいろやっているので、
細部の調整・確認がまだできていません。確認ができたらアップしようと思っています。


No.1694 投稿時間:2003年10月13日(Mon) 10:43 投稿者名:tk URL:
タイトル:Re: IPベースでないと仕組み上無理です。

おやじ様

やはりそうでしたか。
早々のご連絡ありがとうございました。
複数のドメインを扱っているのでとりあえず、
httpd.confのMOD_SSLなどの設定をブランクにする処置をし、
一度noSSLに戻します。
(今は固定IP1個です。)


No.1708 投稿時間:2003年10月14日(Tue) 22:19 投稿者名:かい URL:
タイトル:Re: IPベースでないと仕組み上無理です。

こないだ親父さんのHPを参考にして,sslを構築したんですが
私は名前ベースのバーチャルドメインを使ってます.
で,私はyaguma.comとyaguma.netを運営しています.
https://yaguma.comもhttps://yaguma.netも同じようにアクセスできます.
tkさんの言っている問題はこれとは違うのでしょうか?
少し不思議に思ったもので質問してみました.


No.1712 投稿時間:2003年10月14日(Tue) 23:28 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:目をつぶればできないわけではありませんが。

かいさん、こんばんは。

> こないだ親父さんのHPを参考にして,sslを構築したんですが
> 私は名前ベースのバーチャルドメインを使ってます.
> で,私はyaguma.comとyaguma.netを運営しています.
> https://yaguma.comもhttps://yaguma.netも同じようにアクセスできます.
> tkさんの言っている問題はこれとは違うのでしょうか?
> 少し不思議に思ったもので質問してみました.

 今日、IPベースでアップしましたが、厳密には無理があります。
 パケットをキャプチャすればすぐわかりますが、HTTPSでGETする前にSSLの認証が
入りますので、この時点では名前ベースではホストが特定できないので、httpd.conf
の最初のVirtualHostの証明書を送ってきます。従って、次以降のVirtualHostディレクティブ
でいくらそのホスト用の証明書を指定しても無駄で、これらのホストにアクセスすると
CA証明書をインストールしても、ホスト名が違うと毎回怒られます。
 かいさんのサイトも、.netはホスト名が不一致になっているので、こちらが二番目に
書かれていると思います。
 同様に、ServerNameかServerAliasにマッチしない場合は、必ず最初のVirtualHost
にアクセスするので、全く関係ないサイトを運用する場合は、ワイルドカードを使うなど
して、未ヒットにならないようにしないとまずいと思います。
 下記が参考になると思います。

 http://httpd.apache.org/docs-2.1/ja/vhosts/name-based.html

 http://httpd.apache.org/docs-2.1/ja/dns-caveats.html


 


No.1717 投稿時間:2003年10月15日(Wed) 09:37 投稿者名:かい URL:
タイトル:勉強になりました.

こんちは.おやじさん.
yaguma.netのDocumentRootを変えてみたところ
http://yaguma.netはOKですが,
確かにhttps://yaguma.netではyaguma.comが表示されます.
勉強になりました.



掲示板▲頁先頭