1枚のLANカードに複数のIPを振ってみた

httpsの通信ではネームベースのバーチャルホストでは鍵の識別ができなくなるので、複数IPを振ってみることにしました。その他の利用法としてLAN内のみで開発する場合に複数のサブネットを作成することでLAN用サブネットではウェブアクセス、エイリアスの新サブネットではDB接続等の構成が可能になります。

ではやり方。
# ee /etc/rc.conf (一部抜粋)
ifconfig_fxp0=”inet xxx.yyy.zzz.11 netmask 255.255.255.248″
ifconfig_fxp0_alias0=”inet xxx.yyy.zzz.12 netmask 255.255.255.255″

rc.confにこのように設定します。
netmaskが255.255.255.255なのは同じカードで同じネットマスクの場合に、同じサブネットですよ~という意味らしい。これを255.255.255.248のように設定すると同じIP帯のサブネットを別途生成することになり後々わかわからない傷害に悩まされる可能性がある。

次に、増設したLAN側(CardBus)の設定も多重化します。こちらはIPだけでなくサブネットも多重化してみます。

# ee /etc/devd/rl0.conf (一部抜粋)

device-name “rl0”;
action “ifconfig $device-name inet 192.168.0.11 netmask 255.255.255.0”;
action “ifconfig $device-name inet 192.168.0.12 netmask 255.255.255.255 alias”;
action “ifconfig $device-name inet 192.168.3.11 netmask 255.255.255.0 alias”;
action “ifconfig $device-name inet 192.168.3.12 netmask 255.255.255.255 alias”;
action “route add default 192.168.0.1”;
action “route add default 192.168.3.1”;

追加サブネットについては2台とも設定してお互いに通信できるようにしました。(念のため片方だけ設定したときに、もう片方からpingが通らないことを確認)

あとは新規に追加したグローバルIPの方はファイヤーウォールの穴あけないと接続できない。(出来た方が問題なのでこれ良い)。ウェブとメールだけは空ける必要があるので後で空けておこう。

多彩なバーチャルホスト

この前、SUEXEC対応でインストールしたので、各バーチャルホストで別々のユーザ設定。SSLのバーチャルホストをやってみたいと思います。

./configure –prefix=/usr/local/apache
–enable-module=so
–enable-ssl
–enable-suexec
–with-suexec-docroot=/home
–with-suexec-uidmin=1000
–with-suexec-gidmin=1000

実はwith-suexec-docrootでやっぱり後悔して/homeで再インストしました。

VirtualHostディレクティブの中で
SuexecUserGroup uid gid
を設定するとSUEXECが有効になります。このときに気をつけるのは、Apacheをインストールした後にAppacheのUserとGroupは変更しないこと。SuexecUserGroupで指定するuidとgid(idじゃなく名称でも良い)は–with-suexec-uidminと–with-suexec-gidminの値を超えていること。そして実際にCGI等を配置するディレクトリは–with-suexec-docrootで指定したディレクトリ内にあることです。

次に、IPベースとネームベースの両方を用いたバーチャルホスト設定をしてみました。
※但し現在はグローバルを1個だけしか振ってないのでポートで分けた。

NameVirtualHost *:80
NameVirtualHost *:8080
ServerName vhost1.exsample.com:80
ServerAlias vhost1.exsample.com:80
ServerName vhost2.exsample.com:80
ServerAlias vhost2.exsample.com:80
ServerName vhost3.exsample.com:8080
ServerAlias vhost3.exsample.com:8080
ServerName vhost4.exsample.com:8080
ServerAlias vhost4.exsample.com:8080

ざっとこんな感じSSL側もNameVirtualHostを入れることによってサブドメイン毎に表示を分けることができましたがサーバ認証はどうしても最初のディレクティブで設定したものが使用されてしまう。SSL側だけはIPベースのバーチャルホストにしないと問題がでそうだ。

バーチャルホストについても本当のIPベースとネームベースの複合もやりたいので、追加を行ってみます。

Apache自己認証SSLサーバの構築

【CAを立てない場合】
1. Apache用サーバ秘密鍵(パスワード付き)の作成
# openssl genrsa -des3 -out server.key -rand /var/log/maillog 1024

2. 証明書発行要求(CSR)を作成
# openssl req -new -key server.key -out server.csr

3. 自己署名
# openssl x509 -req -days 365 -signkey server.key -out server.crt -in server.csr

4. 自動起動できるように秘密鍵のパス入力を省略させる
# cp server.key server.key.bak
# openssl rsa -in server.key.bak -out server.key

5. Apacheのconfigで下記を設定する。
# サーバ証明書
SSLCertificateFile /usr/local/apache/conf/server.crt
# サーバ秘密鍵
SSLCertificateKeyFile /usr/local/apache/conf/server.key
【プライベートCAを立てて認証する場合】

1. 認証局の秘密鍵の作成
CA関連のファイルを保存するディレクトリを作成
# mkdir /etc/ssl/ca
# cd /etc/ssl/ca

2. 認証局の秘密鍵を作成
# openssl genrsa -rand /var/log/maillog -out ca.key 1024

3. 自己署名してCA証明書発行
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt
これで出来上がったca.crtがCA証明書です。

4. CAの設定
今回一時的な使用のためコンフィグのコピーを作成
# cp /etc/ssl/openssl.cnf /etc/ssl/ca/
# cd /etc/ssl/ca/
# mkdir newcerts
# mkdir crl
FreeBSDの場合、素ではdemoCAが無かったので別途ソースを入手してindex.txtやserialファイルをコピーしました。

5. CAでサーバ証明書の発行
# cp /usr/local/apache/conf/server.csr /etc/ssl/ca/
# openssl ca -config /etc/ssl/ca/openssl.cnf -in server.csr -days 365 -keyfile ca.key -cert ca.crt -out server-ca.crt

6. 出来たサーバ証明書とCA証明書をコピー
# cp server-ca.crt /usr/local/apache/conf/
# cp ca.crt /usr/local/apache/conf/

7. Apacheで設定変更
# サーバ証明書
SSLCertificateFile /usr/local/apache/conf/server-ca.crt
これで下記のBタイプになります。

8. CA証明書の情報を表示するなら以下の設定を有効にしてもOK
#SSLCertificateChainFile /usr/local/apache/conf/ca.crt
ここで下記のCタイプになります。

9. クライアント認証を行うなら以下も有効に
#SSLCACertificatePath /usr/local/apache/conf
#SSLCACertificateFile /usr/local/apache/conf/ca.crt

これで
A. サーバ自己署名
B. プライベートCA署名
C. プライベートCA署名、CA証明書情報あり
の3通りの設定ができます。でもIE7で見たら
A. 証明書が信用できないエラー
B. 証明書はOK,CAが見つからないエラー
C. 証明書はOK,CAが信用できないエラー
どれも証明書エラーで大差なかったです。

今度はプラウザにインポートした時にどうなるかを検証します。
A. サーバ証明書兼CAなので正常になる
B. CA証明書がないのでインポートが無意味
C. CA証明書がないのでインポートが無意味

BとCで正常化するには別途CA証明書をエクスポートしてインストールする必要があるようです。
以上より単純にセキュアサイト開発するだけなら自己署名のみの方がいいですね。