Setting of apache with mod_ssl on my linux box

openssl 0.9.7g

• tar xvzf openssl-0.9.7g.tar.gz
• cd openssl-0.9.7g
• ./config shared
• make
• make test
• make install
• vi /etc/ld.so.conf
  /usr/local/ssl/lib を追加する
• PATH=${PATH}:/usr/local/ssl/bin;export PATH

0.9.7eでは、なんやら存在しないライブラリにリンクを張るみたいでした...

• cd /usr/local/ssl/lib
• file *|grep 'broken symbolic link'

  libfips.so:         broken symbolic link to libfips.so.0
  libfips.so.0:       broken symbolic link to libfips.so.0.9.7
    

• rm libfips.so libfips.so.0

mod_ssl-2.8.24-1.3.33 + apache 1.3.33

• tar xvzf mod_ssl-2.8.24-1.3.33.tar.gz
• tar xvzf apache_1.3.33.tar.gz
• cd mod_ssl-2.8.24-1.3.33
• ./configure --with-apache=../apache_1.3.33 --with-ssl=/usr/local/ssl --prefix=/usr/local/apache --enable-shared=ssl --enable-module=rewrite --enable-module=auth_digest
• cd ../apache_1.3.33
• make
• make certificate
  SSL通信用に秘密鍵と電子証明書(公開鍵)を作成する。但し、ここで作成する電子証明書は自分自身で署名された 物(^^;なので、あくまでもUnofficialな物であることに注意して下さい。
  (もちろん下記の鍵を自分でopensslコマンドで作成してもOK)
  • 秘密鍵 : /usr/local/apache/conf/ssl.key/server.key
  • 電子証明書(公開鍵) : /usr/local/apache/conf/ssl.crt/server.crt
• make install
• vipw
  ユーザ httpd を追加
• vi /etc/group
  グループ httpd を追加
• vi /usr/local/apache/conf/httpd.conf
  httpはポート80,httpsはポート443を通じて通信する。その他、独自設定箇所は日本語のコメント部分を参照。
• vi /usr/local/apache/htdocs/manual/.htaccess
• vi /usr/local/apache/icons/.htaccess
• vi /etc/rc.d/rc.local
  /usr/local/apache/bin/apachectl startssl でSSL通信対応のapacheを起動する。

apache起動時に入力が必要なパスフレーズを省略できるようにする(非推奨)

• cd /usr/local/apache/conf/ssl.key
• cp -p server.key server.key.org
• openssl rsa -in server.key.org -out server.key
  パスフレーズ入力

Basic認証用 .htaccess

AuthUserFile /home/m-ito/.htpasswd
AuthType Basic
AuthGroupFile /dev/null
AuthName Secret
<LIMIT POST GET PUT>
require valid-user
</LIMIT>
<FILES .htaccess>
order allow,deny
deny from all
</FILES>

.htpasswd作成

/usr/local/apache/bin/htpasswd -c .htpasswd m-ito
/usr/local/apache/bin/htpasswd .htpasswd foo
/usr/local/apache/bin/htpasswd .htpasswd hoge

Digest認証用 .htaccess

AuthDigestFile /home/m-ito/.htdigest
AuthType Digest
AuthGroupFile /dev/null
AuthName Secret
<LIMIT POST GET PUT>
require valid-user
</LIMIT>
<FILES .htaccess*>
order allow,deny
deny from all
</FILES>

.htdigest作成

/usr/local/apache/bin/htdigest -c .htdigest Secret m-ito
/usr/local/apache/bin/htdigest .htdigest Secret foo
/usr/local/apache/bin/htdigest .htdigest Secret hoge

番外編 - opensslを利用したCA(簡易電子認証局)の構築メモ -

• openssl.txt

番外編 - opensslコマンドまとめ -

• openssl_command.txt

番外編 - Mew-2.* でs/mimeメールを扱うための設定(~/.emacs) -

;;
;; smime
;;
(setq mew-smime-pubkey-dir (expand-file-name "~/.mew-smime"))
;;
;; ROOT認証局の証明書ファイル
;;   ftp://ftp.jp.freebsd.org/pub/FreeBSD/FreeBSD-current/ports/security/ca-roots/files/ca-root.crt
;; 自分で立てた認証局の証明書もここに追加しておく(?)
;;
(setq mew-smime-CA-file (expand-file-name "~/.mew-smime/ca-root.crt"))
;;
;; 自分のプライベートキーファイルと自分の証明書ファイルを合体(cat)したファイル
;;
(setq mew-smime-digital-id (expand-file-name "~/.mew-smime/myid.pem"))
;;
;; 中間認証局の証明書ファイル(空でも良さそう?)
;;
(setq mew-smime-additional-certificates (expand-file-name "~/.mew-smime/ca-sub.pem"))

番外編 - Mew-2.* でs/mimeメールを扱うためのコマンド -

• 暗号化 : M-x mew-smime-encrypt-message
• 暗号化＆署名 : M-x mew-smime-encrypt-sign-message
• 署名＆暗号化 : M-x mew-smime-sign-encrypt-message
• 署名 : M-x mew-smime-sign-message