[plamo:23326] Re: plamo-4.0 httpd-2.0.49-i386-P5.tgz

[早間義博]

早間です。
自分の無知を指し示す差別用語を沢山思い浮かべています。

From: KATOH Yasufumi <karma@prog.club.ne.jp>
Subject: [plamo:23325] Re: plamo-4.0 httpd-2.0.49-i386-P5.tgz
Date: Thu, 05 Aug 2004 20:02:52 +0900
Message-ID: <uy8ktzw2r.wl%karma@prog.club.ne.jp>

> 加藤泰文です．
> 
> >>> On Sun, 25 Jul 2004 08:33:54 +0900 (JST)
>     in message   "[plamo:23264] plamo-4.0 httpd-2.0.49-i386-P5.tgz"
>                   早間義博-san wrote:
> 
> > http://httpd.apache.org/docs-2.0/vhosts/name-based.html によると
> >   名前ベースのバーチャルホストは SSL プロトコルの特徴により、 
> >   SSL セキュアサーバには使えません。
> > と書いてあります。
> 
> 1.3.x 用の mod_ssl のドキュメントにも同じことが書いてあるはずです．
> 
>   http://www.modssl.org/docs/2.8/ssl_faq.html#ToC47
> 
> Apache-Users ML でも FAQ です．
>

文言から見て、そのように思うのですが、1.3.27 では Virtualhost の設
定の中に ssl の指定を書いても httpd.conf がエラーとは言わず、且つ
機能していました。 
にもかかわらず、2.0.49 並びに 2.0.50 では Virtualhost の設定に ssl
の設定を加えると、httpd が起動しません。

> Namebased VirtualHost ってのは，HTTP ヘッダの Host の値を見て処理を振
> り分けます．
> 
> しかし，HTTPS のハンドシェイクは HTTP ヘッダ以前に行われますから，
> Apache としてはどこに振り分けてよいかわからないです．
> 
> ここで「できない」と言っているのは，ホスト名毎に証明書を用意して，
> Namebased で振り分けるのを出来ない，と言うことです．つまり IP Address
> ひとつにひとつの証明書しか無理ってことです．
> 

そう言う意味では、真に Virtual ホストではなかったのですね、
すると無駄な努力をしていたのかも知れません。

> # ワイルドカード証明書というのがありますから，厳密には無理ではありませ
> # ん．
> 
> しかし，SSL の通信が成立したあとは，普通に Host ヘッダが送出されるでしょ
> うし，そこで処理を分けることは可能なような気がします．やったことないの
> で本当に可能かどうかは知りませんが...
> 
> > SSL セキュアサーバと https とは違うのでしょうか、また
> >  https://192.168.0.1/
> > のようなアクセスはエラーにして来ましたが、(https://www.src.co.jp
> > は受け付ける) ip ベースの VirtualHost ではこのアクセスは拒否できな
> > くなるのでしょうか(或いは拒否の意味がない)。
> 
> どのような設定をされて実現できていたのでしょうか．
> 

名前は変えてありますが下記の設定です。見直すといい加減なところがあ
ります。このときは php を使ってはいませんでした。
NameVirtualHost 219.106.231.173
<VirtualHost 219.106.231.173>
    DocumentRoot /var/docs/www/htdocs
    ServerName www.src.co.jp
    CustomLog logs/www_access_log combined
    ErrorLog logs/www_err_log
    DirectoryIndex index.shtml index.html
    ScriptAlias /cgi-bin/ "/var/docs/wwww/cgi-bin/"
    <Directory "/var/docs/www/htdocs">
        Options Indexes FollowSymLinks ExecCGI +Includes
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
    AddHandler cgi-script .cgi
    AddType application/x-httpd-php3 .php3
    AddType application/x-httpd-php3-source .phps
    AddType text/html .shtml
    AddHandler server-parsed .shtml
</VirtualHost>

<VirtualHost www.src.co.jp:443>
    ScriptAlias /cgi-bin/ "/var/docs/www/cgi-bin/"
    <Directory "/var/docs/www/htdocs">
        Options Indexes FollowSymLinks ExecCGI +Includes
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
    AddHandler cgi-script .cgi
    AddType application/x-httpd-php3 .php3
    AddType application/x-httpd-php3-source .phps
    AddType text/html .shtml
    AddHandler server-parsed .shtml
    DocumentRoot /var/docs/www/htdocs
    ServerName www.src.co.jp
    ServerAdmin webmaster@src.co.jp
    CustomLog logs/src_access_log combined
    ErrorLog logs/error443_log
    TransferLog logs/access443_log
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
    SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
    <Files ~ "\.(cgi|shtml|phtml|php3?)$">
       SSLOptions +StdEnvVars
    </Files>
    <Directory "/var/docs/wwww/cgi-bin">
       SSLOptions +StdEnvVars
    </Directory>
    SetEnvIf User-Agent ".*MSIE.*" \
    nokeepalive ssl-unclean-shutdown \
    downgrade-1.0 force-response-1.0
     CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
<VirtualHost moon.src.co.jp:443>
    ScriptAlias /cgi-bin/ "/var/docs/cmp/cgi-bin/"
    <Directory "/var/docs/cmp/htdocs">
        Options Indexes FollowSymLinks ExecCGI +Includes
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
    AddHandler cgi-script .cgi
    AddType application/x-httpd-php3 .php3
    AddType application/x-httpd-php3-source .phps
    AddType text/html .shtml
    AddHandler server-parsed .shtml
    DocumentRoot /var/docs/cmp/htdocs
    ServerName moon.src.co.jp
    ServerAdmin webmaster@src.co.jp
    CustomLog logs/moon_access_log combined
    ErrorLog logs/moon_error_log
    TransferLog logs/moon_access_log
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
    SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
    <Files ~ "\.(cgi|shtml|phtml|php3?)$">
       SSLOptions +StdEnvVars
    </Files>
    <Directory "/var/docs/cmp/cgi-bin">
       SSLOptions +StdEnvVars
    </Directory>
    SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0
    CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

-- 早間  yossi@yedo.src.co.jp
   一時接続回線からプロバイダの mailaddress メイルを直接送信した
   場合、受信しないことがありますのでご承知置き下さい。 
   詳しくは http://www.src.co.jp/greylisting.html をご覧ください。