[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 通信による保護

このセクションでは、デフォルトの httpd.conf 構成ファイルを使用して、Secure Sockets Layer (SSL) をセットアップするための情報を提供します。

このタスクについて

仮想ホストごとに、 セキュア・トランザクション中に使用する暗号仕様を設定します。 指定された暗号仕様は、 ご使用のシステムにインストールされている Global Security Kit (GSK) ツールキットのレベルに対して検証します。 無効な暗号仕様は、エラー・ログに記録するエラーの原因になります。 要求を出しているクライアントが指定された暗号をサポートしていない場合、 要求は失敗し、クライアントに対する接続が閉じます。

IBM® HTTP Server には、Secure Sockets Layer (SSL) でクライアントとの通信に 使用する暗号仕様のリストが組み込まれています。 特定のクライアント接続に使用される実際の暗号仕様は、IBM HTTP Server とクライアントの両方がサポートする暗号仕様の中から選択されます。

暗号仕様の中には、他のものよりもセキュリティー・レベルの低いものがあり、 そのために避けなければならないことがあります。 また、セキュリティー・レベルが高い暗号仕様は、低いものよりも計算能力を必要とし、 パフォーマンス上の理由で避けなければならないこともあります。 セキュリティー・レベルが低過ぎる、あるいは過度の計算能力を必要とすると考えられる暗号仕様を 選ばないようにするために、SSLCipherSpec ディレクティブを使用して、 Web サーバーがサポートする暗号仕様のカスタマイズ済みリストを提供することが できます。

SSLCipherSpec ディレクティブを使用して暗号仕様を指定しなかった場合は、IBM HTTP Server バージョン 8.0 以降では従来のデフォルト暗号セットが使用されます。 デフォルトの暗号のセットは、SSL バージョン 2、NULL の暗号、およびぜい弱な暗号を排除します。ぜい弱な暗号には、輸出グレードの暗号が含まれます。これらのデフォルトは、LogLevel debug および SSLTrace を使用可能にすることにより、実行時にエラー・ログで見ることができます。

手順

  1. [AIX Solaris HP-UX Linux Windows] IBM HTTP Server IKEYMAN ユーティリティー (グラフィカル・ユーザー・インターフェース) または IKEYMAN ユーティリティー (コマンド行) を使用して CMS 鍵データベース・ファイル の作成およびサーバー証明書の作成を行います。
  2. [z/OS] IBM HTTP Server は、z/OS® gskkyman ツールを鍵管理で使用して、CMS 鍵データベース・ファイル、公開鍵と秘密鍵のペア、およびサーバー証明書を作成します。 または、SAF 鍵リングを CMS 鍵データベース・ファイルの代わりに作成できます。
  3. IBM HTTP Server の httpd.conf 構成ファイル にある SSL ディレクティブを使用可能にします。
    1. LoadModule ibm_ssl_module modules/mod_ibm_ssl.so 構成ディレクティブのコメントを外します。
    2. 以下の例およびディレクティブを使用して、 httpd.conf ファイルに SSL 仮想ホスト・スタンザを作成します。
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
        </VirtualHost>
      SSLDisable	
      KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"

      この 2 番目の例では、単一の Web サイトが SSL を使用できるように構成されていること、およびサーバー名は、非 SSL (ポート 80) に対してグローバル・スコープで定義されているサーバー名とは異なっていることを想定しています。両方のホスト名は、別々の IP アドレスで ドメイン・ネーム・サーバー (DNS) に登録されていなければなりません。また、ローカル・ネットワーク・インターフェース・カードに両方の IP アドレスを構成する必要があります。

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      この 3 番目の例では、SSL を使用できるよう複数の Web サイトを構成していることを想定しています。 すべてのホスト名は別々の IP アドレスでドメイン・ネーム・サーバー (DNS) に 登録されていなければなりません。 また、IP アドレスのすべてをローカル・ネットワーク・インターフェース・カードに構成する必要があります。 SSLServerCert ディレクティブを使用して、 Web サイトごとの SSL ハンドシェーク中に鍵データベース・ファイルの どの個人用サーバー証明書がクライアント・ブラウザーに渡されたかを確認します。 SSLServerCert ディレクティブを定義していない場合、IBM HTTP Server は、「デフォルト鍵」としてマーク (*) されている、鍵データベース・ファイル内の証明書を渡します。
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Program Files/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Program Files/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Program Files/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/program files/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/program files/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
タスク・トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_setupssl
ファイル名: tihs_setupssl.html