付録G 旧バージョンからの移行に関する注意点
HTTP Serverを旧バージョンから移行する場合に注意が必要な項目と,設定変更の要否を次の表に示します。
項番 |
項目 |
移行前のアプリケーションサーバのバージョン |
|
---|---|---|---|
V8 |
V9 |
||
1 |
プログラムプロダクトの名称変更 |
○ |
− |
2 |
プログラムメニューの提供終了(Windows版だけ) |
○ |
− |
3 |
SSLv2プロトコルの非サポート |
○ |
− |
4 |
SSLv3プロトコルの非サポート |
○ |
○ |
5 |
CA証明書の検証の厳密化 |
○ |
○ |
6 |
リクエストログのログ出力フォーマットの変更 |
○ |
○ |
7 |
ディレクティブの変更 |
○ |
○ |
8 |
メッセージIDの付加 |
○ |
○ |
9 |
SSL関連コマンドの変更 |
○ |
○ |
10 |
サポートする暗号種別の変更 |
○ |
○ |
11 |
静的コンテンツキャッシュ機能の非サポート |
○ |
○ |
12 |
SSLセション管理機能の非サポート |
○ |
○ |
13 |
ディレクトリサービスを利用したユーザ認証とアクセス制御機能の非サポート |
○ |
○ |
14 |
ステータスコードの変更 |
○ |
○ |
15 |
NameVirtualHostディレクティブの非サポート |
○ |
○ |
- (凡例)
-
-
V8,V9:それぞれ,アプリケーションサーバのVersion 8,Version 9(このバージョンを除く)を示します。
-
設定変更が必要な項目を次に示します。
○:移行時に変更が必要な項目です。
−:移行時に変更が不要な項目です。
-
項目ごとの注意点を次に示します。設定変更が必要な場合は,インストールから起動までに実施してください。
-
プログラムプロダクトの名称変更
プログラムプロダクト名を「Hitachi Web Server」から「Cosminexus HTTP Server」に変更しました。これに伴い,ログやHTTP通信などに使用している名称が「Hitachi Web Server」から「Cosminexus HTTP Server」に変更されます。
Windows版では,標準で作成するサービス名も変更されます。ただし,旧バージョンをインストールした環境に「Hitachi Web Server」というサービス名が存在している場合は,上書きインストールを実施してもサービス名は変更されません。
-
プログラムメニューの提供終了(Windows版だけ)
スタートメニューにはこのプログラムプロダクトのメニューは作成されません。
-
SSLv2プロトコルの非サポート
SSLProtocolディレクティブにSSLv2が指定できなくなります。SSLv2だけをサポートしているクライアントからリクエストした場合,SSLハンドシェイクでエラーとなり,接続できません。
-
SSLv3プロトコルの非サポート
SSLProtocolディレクティブにSSLv3が指定できなくなります。SSLv3だけをサポートしているクライアントからリクエストした場合,SSLハンドシェイクでエラーとなり,接続できません。
-
CA証明書の検証の厳密化
クライアント認証時に行われるCA証明書の検証が,規約に従って厳密化されました。CA証明書が規約に従っていない場合,セキュリティ上問題となることがあるため,クライアント認証でエラーとなるおそれがあります。次に示す方法で確認し,規約に従ったCA証明書を使用してください。
- 簡易確認方法
-
1.次の証明書の内容表示コマンドを実行してください。
openssl.sh x509 -text -in CA証明書ファイル
2.コマンド実行で表示されるテキストに「CA:TRUE」が含まれていない場合は,クライアント認証でエラーとなるおそれがあります。
・出力例(抜粋)
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE
- 09-00-60以降,09-65-60以降,09-87の確認方法
-
1.次の証明書の検証コマンドを実行してください。
openssl.sh verify -CAfile CA証明書ファイル クライアント証明書ファイル
オペランド
・-CAfile CA証明書ファイル
CA証明書ファイルを指定してください。ルートCA証明書から中間CA証明書を発行し,証明書チェーンを構成している場合には,各CA証明書を一つのファイルにまとめて指定してください。
・クライアント証明書ファイル
CAから認証された証明書ファイルを指定してください。
2.コマンド実行で「OK」が表示されない場合は,クライアント認証でエラーとなるおそれがあります。
・出力例([クライアント証明書]に「cert.pem」を指定した場合)
cert.pem: OK
-
リクエストログのログ出力フォーマットの変更
リクエストログに出力されるサーバプロセスIDの出力場所を時刻の後ろに変更します。詳細は「4.2.6 モジュールトレースの採取」,「4.2.7 リクエストトレースの採取」および「4.2.8 I/Oフィルタトレースの採取」を参照してください。
-
ディレクティブの変更
幾つかのディレクティブが09-80以降で追加されています。
-
HWSPrfId
-
HWSWebSocketLog
-
MaxSpareThreads
-
MinSpareThreads
-
ServerLimit
-
SSLCARevocationCheck
-
SSLCARevocationFile
-
SSLEngine
-
SSLCipherSuite
-
SSLOptions
-
ThreadLimit
幾つかのディレクティブを削除しています。次に示すディレクティブは11-00では指定できません。
-
DefaultType
-
HWSContentCacheSize
-
HWSContentCacheMaxFileSize
-
LDAPBaseDN
-
LDAPNoEntryStatus
-
LDAPRequire
-
LDAPServerName
-
LDAPServerPort
-
LDAPSetEnv
-
LDAPTimeout
-
LDAPUnsetEnv
-
NameVirtualHost
-
SSLCacheServerPath
-
SSLCacheServerPort
-
SSLCacheServerRunDir
-
SSLCertificateKeyPassword
-
SSLCRLAuthoritative
-
SSLCRLDERPath
-
SSLCRLPEMPath
-
SSLDenySSL
-
SSLDisable
-
SSLECCCertificateFile
-
SSLECCCertificateKeyFile
-
SSLECCCertificateKeyPassword
-
SSLEnable
-
SSLExportCertChainDepth
-
SSLExportClientCertificates
-
SSLFakeBasicAuth
-
SSLRequireCipher
-
SSLRequiredCiphers
-
SSLSessionCacheSize
-
SSLSessionCacheSizePerChild
-
SSLSessionCacheTimeout
また,次に示すディレクティブはデフォルト値が変更となっています。09-80以降でデフォルト値を変更しています。必要に応じて設定を見直してください。
-
AllowOverride(デフォルト値:None)
-
FileETag(デフォルト値:MTime Size)
-
KeepAliveTimeout(デフォルト値:5)
-
Options(デフォルト値:None)
-
SSLVerifyClient(デフォルト値:none)
-
SSLVerifyDepth(デフォルト値:1)
-
ThreadsPerChild(デフォルト値:64)
-
Timeout(デフォルト値:60)
-
UseCanonicalName(デフォルト値:Off)
-
UserDir(デフォルト値:デフォルト値なし)
-
RequestReadTimeout(デフォルト値:header=20 body=20※)
注※ LoadModule ディレクティブでmod_reqtimeout.so を指定した場合。指定していない場合は,デフォルト値なし。
次に示すディレクティブは,仕様を変更しています。「6. ディレクティブ」を参照し,必要に応じて設定を見直してください。
-
AllowOverride
-
CoreDumpDirectory
-
CustomLog
-
HWSKeepStartServers
-
HWSProxyPassReverseCookie
-
HWSRequestLogType
-
LoadModule
-
MaxClients
-
MaxSpareServers
-
MinSpareServers
-
ProxyErrorOverride
-
ProxyPass
-
SSLBanCipher
-
SSLCACertificateFile
-
SSLCACertificatePath
-
SSLCertificateFile
-
SSLCertificateKeyFile
-
SSLProtocol
-
SSLRequireSSL
-
SSLVerifyClient
-
SSLVerifyDepth
-
StartServers
-
ThreadsPerChild
-
-
メッセージIDの付加
各メッセージにユニークなIDが付加されます。詳細については,マニュアル「アプリケーションサーバ メッセージ(構築/運用/開発用)」を参照してください。
-
SSL関連コマンドの変更
sslccertコマンド,sslckeyコマンド,keygenコマンド,およびcertutilコマンドがopenssl.shコマンドに変更となります。sslccertコマンド,sslckeyコマンド,sslpasswdコマンド,keygenコマンドおよびcertutilコマンドは上書きインストール時に削除されます。openssl.shコマンドの詳細については「5. SSLによる認証,暗号化」を参照してください。
-
サポートする暗号種別の変更
サポートする暗号種別を変更します。詳細は「6.2.7 Sで始まるディレクティブ」の「(29) SSLCipherSuite 〔TLSv1.3〕 暗号種別〔:暗号種別…〕」を参照し,必要に応じて設定を見直してください。
-
静的コンテンツキャッシュ機能の非サポート
静的コンテンツキャッシュ機能が非サポートとなります。
-
SSLセション管理機能の非サポート
WebサーバのSSLセション管理機能が非サポートとなります。
-
ディレクトリサービスを利用したユーザ認証とアクセス制御機能の非サポート
ディレクトリサービスを利用したユーザ認証機能とアクセス制御機能が非サポートとなります。
-
ステータスコードの変更
この製品のWebサーバがベースとしているApache HTTP Serverのバージョンを2.4に変更したため,ステータスコードが変更となりますので,「付録A ステータスコード」を参照してください。
リバースプロキシ機能使用時にバックエンドサーバと通信できない場合に502エラー以外に503エラーが返ることがあります。
リクエストラインが受信されずにタイムアウトになった場合にステータスコード408としてアクセスログに出力されます。
-
NameVirtualHostディレクティブの非サポート
NameVirtualHostディレクティブの非サポートにより,複数のVirtualHostブロックに重複したIPアドレスを指定している場合にはサーバ名に基づくバーチャルホストとして動作します。旧バージョンのIPアドレスに基づくバーチャルホストの動作にならない可能性があります。必要に応じて設定を見直してください。