ApacheでSSL証明書をインストールする手順をまとめました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
1)/etc/httpd/conf.d/ssl.confに設定追加
下記設定をします。
Listen 443 SSLRandomSeed startup file:/dev/urandom 1024 SSLRandomSeed connect file:/dev/urandom 1024 <VirtualHost site-on-certificate.com:443> SSLEngine On SSLCertificateFile /etc/pki/tls/http/servercert.pem SSLCertificateKeyFile /etc/pki/tls/http/serverkey.pem SSLProtocol All -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:+MD5 </VirtualHost>
●設定内容の説明
①SSLRandomSeed
擬似乱数生成器のシードとなるソースを設定
SSLRandomSeed context source [bytes]
context
“startup” OpenSSLの開始時
“connect” 新しいSSL接続確立時
②証明書ファイルと秘密鍵ファイルを指定
SSLCertificateFile /etc/pki/tls/http/servercert.pem
SSLCertificateKeyFile /etc/pki/tls/http/serverkey.pem
③使用するSSLプロトコルを指定
SSLProtocol All -SSLv2
SSLv2以外のすべて(SSLv3,TLSv1,TLSv1.1,TLSv1.2)を設定
④SSLハンドシェーク中のネゴシエーションに利用できる暗号を指定
SSLCipherSuite HIGH:MEDIUM:!aNULL:+MD5
HIGH:all ciphers using Triple-DES
MEDIUM:all ciphers with 128 bit encryption
!aNULL:aNULL(No authentication)はリストから外す
+MD5:MD5をこの順番に変更
2)/etc/httpd/conf/httpd.confに設定追加
SSLで保護するコンテンツがあるディレクトリに対する設定を追加します。
<Directory /var/www/html/secure>
SSLRequireSSL
SSLOptions +StrictRequire
SSLRequire %{HTTP HOST} eq "site-on-certificate.com"
# ErrorDocument 403 https://site-on-certificate.com
</Directory>
●設定内容の説明
①SSLRequireSSL
SSLを使用していないHTTPリクエストは拒否する。
②SSLOptions +StrictRequire
・StrictRequire
“SSLRequire”または”SSLRequireSSL”でアクセス禁止が決定されれば、SatisfyがAnyでも強制的にアクセスを禁止する
③403エラー発生時の挙動
403エラーを返さずに自サーバーなどにリダイレクトする場合は設定する
# ErrorDocument 403 https://site-on-certificate.com