毎回,OS を入れ直す度に忘れるので,今回こそはきちんとメモるぞー.
記事の趣旨が趣旨なので,この記事は随時アップデートされると思う.
前提
LAMP サーバが入った状態で Ubuntu server をインストールしたことが前提.
自分しか使わないサーバなので,mod_php5 で勘弁する.
(この後の予定) SSL 対応と,vhost 対応.←済
設定
- dir.conf を編集して,いらん index ファイル指定を消す.
userdir を使うので,有効化する.
# a2enmod userdir
良く考えたら,VirtualHost を使うので,なくて良い気がする.php5 自体は有効化されているが,userdir では無効になってるので,有効化する.
php5.conf を開いて,userdir のディレクティブに記述されている,php_admin_value engine Off
をコメントアウト.directory 内のファイルリストが見えるのは困ることがあるので,デフォルトオフにしておく.
userdir.conf の Indexes を削除.- 多言語対応は,
userdir.conf のMultiViews を有効にしておいて,hoge.html.ja hoge.html.en とかを用意する.
ユーザーが hoge.html にアクセスした時,その人の言語優先度に従って表示するファイルが選択される.
更新し忘れが多発しそうなので,管理はそれなりに考えないといかんかも. - favicon の設定に,rewrite モジュールを使う.
# a2enmod rewrite
ただし,RewriteEngine を使う場合,AllowOverride FileInfo
と,Options SymLinksIfOwnerMatch
辺りを
許可しておかなければならないので,要注意. - DocumentRoot が /var/www とかになっているため,絶対パスで / から指定しているリンクが悉く死ぬ.
DocumentRoot を変更しても良いけど,最終的に userdir でアクセスさせないので, sites-available に VirtualHost の設定を書いた方が良い. - VirtualHost ディレクティブの ErrorLog は,ログ出力先.
LogLevel は,ログ出力レベル.指定するレベルはググること.
CustomLog は,アクセスログの出力先. - VirtualHost ディレクティブでは,ServerName を指定しないと apache2 が warn を吐くが,
設定していたとしても,サーバの hostname.domainname と一致していないと同様に warn を吐く.
設定は,/etc/hostname を FQDN で書いてしまい,networking の restart でとりあえず動く.(←動かない時は,再起動したら動いたりする) - ServerTokens ディレクティブや ServerSignature ディレクティブは,conf.d/security に書かれているので,この後に読まれるよう記載する.
ServerTokens では HTTP のヘッダの出力のサーバ情報の出力を制御でき (ErrorDocument も,この制御された token を出力する),
ServerSignature ディレクティブでは ErrorDocument 下部のサーバ情報の出力を制御できる. - php のヘッダー出力の抑制は,php.ini で行なう.
/etc/php5/apache2/php.ini の expose_php を Off とする. - digest 認証はモジュールをロードさせないといけない.
# a2enmod auth_digest
- deflate モジュールでファイルを gzip 圧縮して転送できるが,転送サイズがファイルサイズより大きいことがある.
その時は,SSI とか PHP とかで include していないか思い返してみること…
これでハマった. - SSL対応。
署名要求ファイルを当該サーバ上で生成して、証明機関に送信して証明書が作成される。
まずは、署名要求ファイルの作成から。- 秘密鍵を作成する。
openssl genrsa -aes256 2048 > server.key
秘密鍵は、パスフレーズで保護する。
server.key が秘密鍵。 - 秘密鍵を使って、署名要求ファイルを作成する。
openssl req -new -key server.key > server.csr
openssl req -new -sha256 -key server.key -out server.csr
# sha-2署名を要求する
秘密鍵のパスフレーズを求められるので、入力する。
証明書へ埋め込みたい情報の入力が求められるので、入力する。
とりわけ、Common Name は使いたい web site のホスト・ドメイン名と一致させておくこと。
server.csrが署名要求ファイル。
- 秘密鍵を作成する。
- 続いて、StartSSL を例にドメイン名の検証 (validation) を行なう。
詳しくは、[無料 SSL 証明書 StartSSL を使う](http://futuremix.org/2009/02/startssl)などを参照。- サインアップから名前とか住所とかを登録。
- クライアント証明書をインストール。(次回からのログインにはクライアント認証が必須)
- ドメイン名検証を通過させる。独自ドメインのメールか、ドメイン登録に使っているメールの受け取り環境が必要。
- web サーバの検証を行なう。
登録済みサブドメインの失効は有料といわれたので、ここで手順は中止。HW 交換したら、全てのキーを保存しておかんといかんなぁ。。。- 別ドメインを建ててみる.
CSR ファイルを作る画面が出てくるが,ローカルで作成しているので skip する. - トップレベルドメインは,検証済のドメインを選択する.
次にサブドメインを入力させられるので,検証させたいサブドメインを入力する. - Save Certificate という画面で,crt ファイルの中身が出てくるので,
コピーして server.crt とかのファイル名でテキストファイルにペースト.
改行コードは LF. - 同じ画面からリンクされている「intermediate」と「root」の CA certificates をダウンロードする.
- web サーバの設定
- /etc/apache2/ports.conf を編集し,mod_ssl.c のモジュール設定の部分に,
NameVirtualHost *:443
とか書いておく.Listen が書かれてなければ,Listen 443 も書いておく. - これまで準備したファイルのうち,必要なものを配置.
/path に放り込んだとすると,次のファイルが必要.
/path/server.key
/path/server.crt
/path/sub.class1.server.ca.pem (← intermediate CA Certifications)
/path/ca.pem (← root CA Certifications) - SNI を定義しているファイル (site-enabled にあると思われる) の中で,
ssl 用の設定を書く.
その中で,配置したファイルを指定する.ついでに簡単な雛形も載せておく.ServerAdmin MAIL_ADDR DocumentRoot ROOT_DIR ServerName DOMAIN_NAME SSLEngine on SSLCertificateFile /path/server.crt SSLCertificateKeyFile /path/server.key SSLCertificateChainFile /path/sub.class1.server.ca.pem SSLCACertificateFile /path/sslfiles/ca.pem ... ... ...
- /etc/apache2/ports.conf を編集し,mod_ssl.c のモジュール設定の部分に,
- 上述のままだと,apache 起動時に server.key のパスフレーズを求められる.
自動リブートとかさせていると問題があるので,解除する.# openssl rsa -in server.key.org > server.key
-- 追記
いつからか,apache2 の再起動時に,以下のエラーを吐くようになった.
いろいろと対処しているうちに名前解決が怪しいと気付き,syslog を見て原因が分かった.
ホスト名を変更した時に,旧ホスト名を現ホスト名の CNAME にしたにも関わらず,ローカルに立てている DNS の SOA レコードとか NS レコードとかもろもろを書き換え忘れていたことが原因.
httpd: apr_sockaddr_info_get() failed for hoge.hadacchi.com
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
どうやらこれは,二つのエラーを意味しているようだ.
多分
1行目:ServerName の設定がないから自分で取ろうとしたけど,うまくいかないぜ!
2行目:なんか,ちゃんとした答えが得られないから,これこれを ServerName に使うぜ!
とうことなんだろうと思う.対応とその結果を書いておく.
- 対処1:自分の使用しているホスト名 (
# hostname -f
で表示されるものの FQDN) を /etc/hosts の 127.0.0.1 の別名として併記する.
ただし,今回のように bind の設定ミスがある場合は,hostname -f でエラーが返る.- 結果1:1行目のエラーのみ消え,2行目の 127.0.0.1 の部分が,/etc/hosts に設定したホスト名となる
- 対処2:(VirtualHost を使っているとしても) httpd.conf あたりに,ServerName 定義行を追記する.値は,デフォルトで使いたいサーバ名.
通常は,最初に apache に読み込まれる VirtualHost 名.- 結果2:対処1をしなくても,エラーが両方消える.
ServerName の設定が静的に記述されているので,この一連の動作自体が発生しないのだと思う.
- 結果2:対処1をしなくても,エラーが両方消える.
- 対処3:localhost に DNS サーバを立てる.
- 対処1,2をしなくても,エラーが両方消える.
3 Replies to “apache2 の設定メモ”
Comments are closed.