1.6.4 https接続を有効にする手順(Linux 8)
user_httpsd.confファイルを設定し,秘密鍵ファイルおよびSSLサーバ証明書ファイルを指定したディレクトリに格納して,Webサーバのhttps接続を有効にします。
事前作業
-
root権限を持つユーザーでJP1/AOサーバにログインします。
-
JP1/AOのサービスを停止します。
- 非クラスタシステムの場合
-
hcmds64srvコマンドにstopオプションを指定して実行します。
- クラスタシステムの場合
-
クラスタソフトを使用してサービスをオフラインにします。
https接続を有効にする手順
-
次の場所からuser_httpsd.confファイルを開きます。
共通コンポーネントのインストール先ディレクトリ/uCPSB11/httpsd/conf/user_httpsd.conf
- user_httpsd.confファイル内で,以下のようにします。
-
番号記号(#)を削除することによって,以下の行を非コメント化します。
「#Listen 22016」
から
「#HWSLogSSLVerbose On」
ただし,「#SSLCACertificateFile」と「#Header set Strict-Transport-Security max-age=31536000」はコメントアウトしたままにしておく必要があります。
IPv6環境の場合,「#Listen [::]:22016」行の先頭の番号記号(#)を削除します。
-
必要に応じて,以下の行を編集します。
最初の行のServerName
<VirtualHost>タグのServerName
SSLCertificateKeyFile
SSLCertificateFile
#SSLCACertificateFile
認証局の証明書を使用する場合は,「# SSLCACertificateFile」行から番号記号(#)を削除し,認証局の証明書を絶対パスで指定します。
- 重要
-
外部サーバからホストへの非SSL通信をブロックするには,「Listen 22015」行と「Listen [::]:22015」行の先頭に番号記号(#)を追加してコメントアウトします。これらの行をコメントアウトした後,「#Listen 127.0.0.1:22015」行の番号記号を削除します。
ディレクティブを編集する場合,以下について注意してください。
- 同じディレクティブを2回指定しないでください。
- ディレクティブの途中で改行を入れないでください。
- ディレクティブでパスを指定する場合,シンボリックリンクまたはジャンクションポイントを指定しないでください。
- ディレクティブで証明書および秘密鍵ファイルを指定する場合,PEM形式のファイルを指定してください。
- httpsd.confファイルおよびhsso_httpsd.confファイルを編集しないでください。
以下に,user_httpsd.confファイルの編集例を示します。番号は,デフォルトのポート番号を示しています。ServerName ホスト名 Listen [::]:22015 Listen 22015 #Listen 127.0.0.1:22015 SSLEngine Off #Listen [::]:22016 Listen 22016 <VirtualHost *:22016> ServerName ホスト名 SSLEngine On SSLProtocol +TLSv1.2 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256 # SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256 SSLCertificateKeyFile "共通コンポーネントのインストールディレクトリ/uCPSB11/httpsd/conf/ssl/server/httpsdkey.pem" SSLCertificateFile "共通コンポーネントのインストールディレクトリ/uCPSB11/httpsd/conf/ssl/server/httpsd.pem" # SSLCertificateKeyFile "共通コンポーネントのインストールディレクトリ/uCPSB11/httpsd/conf/ssl/server/ecc-httpsdkey.pem" # SSLCertificateFile "共通コンポーネントのインストールディレクトリ/uCPSB11/httpsd/conf/ssl/server/ecc-httpsd.pem" SSLCACertificateFile "共通コンポーネントのインストールディレクトリ/uCPSB11/httpsd/conf/ssl/cacert/anycert.pem" # Header set Strict-Transport-Security max-age=31536000 </VirtualHost> HWSLogSSLVerbose On
-
- JP1/AOのサービスを開始します。
- hcmds64chgurlコマンドを使用して,次のようにJP1/AOのURLを更新します。
- プロトコルをhttp:からhttps:に変更します。
- セキュア通信に使用されるポート番号を変更します。