Apache

1. ssl 設定

   $ sudo a2enmod ssl
   $ sudo a2ensite default-ssl
   $ sudo /etc/init.d/apache2 restart

2. proxy 設定

   $ sudo a2enmod proxy
   $ sudo a2enmod proxy_http

3. /etc/apache2/site-enables/default-ssl の proxy directive 設定

   ProxyPass        /proxy/ http://BACKEND_HOST:PORT/PREFIX
   ProxyPassReverse /proxy/ http://BACKEND_HOST:PORT/PREFIX

[+] [-] 2.1. この節、Ubuntu 10.04, 11.04 では不要

[+] [-] 2.2. module, site の enable化と再起動

htdigest 認証のユーザ登録の方法:

$ sudo htdigest /etc/trac/htdigest 'Subversion Project' user

1. mod_ssl の前提条件:
   • Apache
   • OpenSSL
   • gzip
   • Perl5.6.1
2. 以下を download & untar
   • apache1.3.33 (2005-10 以降) apache1.3.31 (2004-08 以降) apache1.3.2[8,9]
   • mod_fastcgi-2.4.[0,2]
   • mod_ssl-2.8.24-1.3.33.tar.gz (2005-10以降) mod_ssl-2.8.19-1.3.31.tar.gz (2004-08以降)
     

     mod_ssl-2.8.16-1.3.29.tar.gz

3. fastcgi
   1. source を apache source にコピー

      $ cd apache_1.3.31/src/modules/
      $ mkdir fastcgi
      $ cd fastcgi
      $ cp -r ../../../../mod_fastcgi-2.4.2/* .

4. mod_ssl

   ./configure --with-apache=../apache_1.3.31

5. Apache
   1. cd apache_1.3.31
   2. INSTALL に書かれてあるように "SSL_BASE=SYSTEM" とすると、 Vine デフォルトの /usr/bin/openssl, /usr/lib/... を 参照するようになるので、明示的に /opt/openssl を指定する:

      $ export SSL_BASE=/opt/openssl

      なお、OpenSSL は既に install したものを使用するので、

      --with-ssl=../openssl-0.9.x

      は必要ない。
   3. configure

      $ ./configure \
            --prefix=/opt/apache_1.3.31 \
            --enable-module=ssl \
            --enable-module=rewrite --enable-shared=rewrite \
            --activate-module=src/modules/fastcgi/libfastcgi.a \
            --disable-rule=EXPAT

      NOTE 1: mod_rewrite は、

      <a href="document.html:SSL">

      といった拡張機能をサポートする。同一ホスト内で SSL と非SSL の間を 相対パスで指定できるようにするために必要。 NOTE 2: SOAP::Lite を入れた時に expat も入ったようだが、 これが Apache 付属の expat-lite と衝突しているのか、 このあとの make が error となる。

      --disable-rule=EXPAT はそれを回避するオプション。

   4. make
   5. make certificate [TYPE=custom]
      • 注意: TYPE=custom オプションとする場合、server の FQDN と認証局(CA)の FQDN は異なるもの(例えば server = example.com, CA = example0.com。CA は実在してなくてもよさそうだ) にしておかないと、Apache 実行後の browser からのアクセス時に

        mod_ssl: SSL handshake failed (server nike.100acre.net:443,
                client 192.168.0.10) (OpenSSL library error follows)
        
        OpenSSL: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3
                alert bad certificate [Hint: Subject CN in certificate
                not server name or identical to CA!?]

        というエラーが出る。これに数日はまった(-_-)。
   6. make install
6. permission, owner の調整

   # cd /opt/apache_1.3.31
   
   # find . -exec chmod o-rwx {} \;
   
   # find . -exec chown [MYNAME]:[MYNAME] {} \;

7. logs/, conf/ を /var/opt/apache/, /etc/opt/apache に移動し、 symlink を張っておく。
8. httpd.conf の変更点:

   MinSpareServers 1
   StartServers    1
   Port            7000
   User            [MYNAME]
   Group           [MYGROUP]

9. スタート

   $ umask 027
   $ /opt/apache/bin/apachectl startssl

   NOTE: umask をしておかないと、/opt/apache/logs/ に User が file を作成 できないようだ。

[+] [-] 5.1. 証明書の内容を表示

[+] [-] 5.2. zive.net → dip.jp ドメイン変更時の SSL 対応メモ