ご使用のサーバーが、HTTPS 要求のみを受け入れるクライアントにアドバタイズできるように、応答ヘッダーに HTTP Strict Transport Security (HSTS) を指定できます。HTTPS 以外の要求はすべて、 SSL が有効になっている仮想ホストにリダイレクトできます。
始める前に
- HSTS ポリシーがドメインのみに適用されるのか、サブドメインを含むのかを決定します。
- ドメインが、クライアントで認識されている HSTS ホストのプリインストール済みリストに属することができるかどうかを決定します。
- ドメインが HSTS ホストであることを示す情報を、クライアントがキャッシュに入れることができる期間を決定します。
手順
- 応答ヘッダーの変更を可能にします。
httpd.conf ファイルで mod_headers モジュールの以下のロード・モジュール・ディレクティブのコメントを外します。
LoadModule headers_module modules/mod_headers.so
- クライアントの HSTS ポリシーを定義します。
httpd.conf ファイルで以下の更新を行います。
- Header ディレクティブをコーディングします。
以下の例の Header は、HSTS ポリシーを定義するために役立つオプションを指定します。このディレクティブは、サーバーで常に HTTPS 接続が必要であることを指定します。HTTPS 接続は、ドメインとすべてのサブドメインの両方に適用されます。クライアントは、HSTS ドメインのプリインストール済みリストにドメインを最大 1 年 (31536000 秒) 間保持できます。
Header always set Strict-Transport-Security "max-age=31536000;
includeSubDomains; preload"
- Secure Sockets Layer (SSL) が使用可能な各仮想ホスト・セクション <virtualhost> に Header ディレクティブを追加します。
- SSL が使用可能ではない仮想ホストから、使用可能である仮想ホストに要求をリダイレクトします。
RewriteEngine on
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
- httpd.conf ファイル内の各仮想ホスト・セクションにスタンザを 1 回追加します。
- グローバルな httpd.conf ファイルで、仮想ホスト・セクションの外部にスタンザを 1 回追加します。
タスクの結果
指定されたドメインとサブドメインに HTTPS を介してのみ接続することをクライアントに指示するように、IBM® HTTP Server をセットアップします。IBM HTTP Server が SSL 以外を介して HTTPS 以外の要求を処理しないようにするには、SSL が有効になっている仮想ホストにこれらの要求をリダイレクトするようにサーバーをセットアップします。
次のタスク
アプリケーション・サーバーとクライアントの間の接続が HTTPS を介して行われるように、ご使用のサーバーをフロントエンドとしてアプリケーション・サーバー環境に追加します。