前のトピック: セキュア設定の設定(Windows 以外)次のトピック: アップグレード例

Apache ロード バランサWindows 上以外での Apache ロード バランサ設定セキュア設定の設定(Windows 以外)セキュアな通信の設定(Windows 以外)

セキュアな通信の設定(Windows 以外)

セキュアな通信を行うようにロード バランサを設定できます。 以下の手順で、「certloc」はユーザの証明書の場所を示します。

以下の手順に従います。

  1. ロード バランサをインストールし、設定テンプレートを準備します
  2. workers.properties ファイルを開きます。
  3. 以下の行から始まる node1 を定義することにより、最初のノードを追加します。 
    worker.node1.host=<Enter node1 hostname here>
  4. この行で、worker.node1.host のプレースホルダ Enter node1 hostname here を有効な値で置き換えます。

    注: この有効な値は、最初のドメイン オーケストレータ ノードをインストールするホストに解決される IP アドレス、FQDN、または DNS エイリアスです。 有効な値は、ドメイン オーケストレータをインストールするときに「サーバ ホスト」に使用される値と同じです。

  5. worker ファイルを保存して閉じます。
  6. 以下のディレクトリの openssl ファイル内で CA のデフォルトの場所を確認します。 
    apache_install_location/conf
  7. httpd.conf 内の「ServerName」 に一致する「Common Name」を持つ証明書ファイルおよび秘密鍵ファイルを作成するか取得します。

    たとえば、以下の手順では、証明書ファイルを作成するために Apache ロード バランサで提供される openssl ユーティリティを使用する方法について説明します。 追加のオプションは、証明書の有効期限、ファイル名、およびアルゴリズムを制御します。 お使いのサイトに特別な要件がある場合は、ベンダー提供のドキュメントを参照してください。

    1. コマンド プロンプトを開きます。
    2. Apache の bin フォルダにディレクトリを変更します。 
      cd apache_install_location/bin
    3. 証明書の署名要求ファイル(CSR)および PEM ファイルを作成します。 これには、以下のコマンドを入力します。「mypamserver」には任意の名前を指定します。 
      openssl req -new -out mypamserver.csr

      PEM ファイルのパスフレーズ、および他の識別情報の入力を求められます。

      • ほどんどの識別情報(たとえば、国名、都道府県名、地域名、組織名、組織単位名)には、デフォルト値を適用できます。 フィールドを空白のままにするには、ピリオド(.)を 1 つ入力します。
      • [Common Name]プロンプトが表示されたら、値として apache_install_location/conf/httpd.conf 内の「ServerName」のホスト名部分を入力します。

        たとえば、httpd.conf 内の「ServerName」値が myhost.mycompany.com:80 の場合は、「Common Name」に myhost.mycompany.com を指定します。

      • 次のフィールドはオプションです: 電子メール アドレス、dir、チャレンジ パスワード、およびオプションの会社名。

      Apache ロード バランサはカレント ディレクトリに mypamserver.csr および privkey.pem を作成します。

    4. RSA の秘密鍵を作成します。 そのためには、Apache ロード バランサによってプロンプトが表示されたときに、privkey.pem のパスフレーズを入力します。 
      openssl rsa -in privkey.pem -out mypamserver.key
    5. 証明書を作成します。 
      openssl x509 -in mypamserver.csr -out mypamserver.cert -req -signkey mypamserver.key
  8. コマンド プロンプトを閉じ、Windows エクスプローラを開いて生成されたファイルをコピーし、削除します。
    1. certloc フォルダを選択するか、証明書および秘密鍵のファイルを保存するフォルダを作成します。
    2. CERT と KEY のファイルが生成された場所で apache_install_dir¥bin フォルダを開きます。
    3. mypamserver.cert および mypamserver.key を certloc へドラッグ アンド ドロップ(移動)します。
    4. apache_install_dir/bin フォルダに作成された中間ファイルを削除します。 中間ファイルには mypamserver.CSR、privkey.PEM、および.RND が含まれます。
  9. 作成したファイルをバックアップします。
  10. テキスト エディタを使用して、httpd テキスト ファイル(apache_install_location¥conf¥httpd.conf)を以下のように変更します。
    1. 以下の行のコメントを解除します。 
      LoadModule rewrite_module modules/mod_rewrite.so

      LoadModule ssl_module modules/mod_ssl.so

      Include conf/extra/httpd-ssl.conf
    2. httpd.conf の最後に以下の行を追加します。 SecureDomainConfig_Template.zip から抽出した httpd VIRTUALHOST_EXAMPLE ファイルからテキストをコピーし、貼り付けることができます。 
      <VirtualHost *:80> 
JkMountFile conf/uriworkermap.properties 
RewriteEngine On 
RewriteCond %{HTTPS} off 
RewriteCond http://%{HTTP_HOST}%{REQUEST_URI} !^http://.*c2orepository*|MirroringRequestProcessor*|mirroringrepository*|StartAgent*|genericNoSecurity*|soapAttachment* 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} </VirtualHost> 
# Load balancing module
include conf/mod-jk.conf
    3. 変更された httpd.conf ファイルを保存して、エディタを閉じます。
  11. 編集したファイルをバックアップします。
  12. テキスト エディタを使用して、apache_install_location/conf/extra/httpd-ssl.conf 設定ファイルを以下のように変更します。
    1. 次のテキストのコメントを外します(コメントされている場合): “Listen 443”
    2. SSLCertificateFile の場所を ..../certloc/mypamserver.certに変更します。 
      SSLCertificateFile "/usr/local/certloc/mypamserver.cert"
    3. SSLCertificateKeyFile の場所を ..../certloc/mypamserver.key に変更します。 
      SSLCertificateKeyFile "/usr/local/certloc/mypamserver.key"
    4. 要素 <VirtualHost> と要素 </VirtualHost> の間に、以下の行を追加します。 
      SSLOptions +StdEnvVars +ExportCertData
JkMountFile conf/uriworkermap.properties
    5. 変更された httpd.conf-ssl ファイルを保存して、エディタを閉じます。
  13. Apache サービスを再起動します。 そのためには、[スタート]メニューから、[プログラム]-[Apache HTTP Server 2.2]-[Control Apache Server]-[Restart]をクリックします。

    変更内容が適用されます。