- PR -

non-ip型バーチャルドメインのSSL利用について

1
投稿者投稿内容
たかぴ
会議室デビュー日: 2004/08/24
投稿数: 18
投稿日時: 2004-08-24 16:09
はじめまして、たかぴと申します。
どなたか知っている方がいましたらご教授ください。

Non-ip型バーチャルドメインを複数設定した1台のサーバでhttps://バーチャルドメイン名:444(443以外のポート)とアクセスするのでは無くhttps://バーチャルドメイン名でアクセスさせたいのです。
この場合通常どのバーチャルホストにも443ポートを指定すれば良いとは思うのですが
このサーバ、ホライズンデジタル社のHDEコントローラがインストールされておりヘタに
httpd.confをいじると最悪、起動できなくなってしまうという事があります。

ホライズンデジタル社に、問い合わせをしたところ
> Controllerとしては443はホストドメインで利用する仕様となっておりますので
> 避けていただいければと思います。

との回答です。

どなたか、解決策を知っている方がおりましたら、教えていただけませんでしょうか。

ちなみに環境は
redhatlinux8
Apache2+mod_ssl
IPは、レンタルサーバの規約上1つしか使えません。

では、宜しくお願いします。

(現在のhttpd)

Listen 443
Listen 444
<VirtualHost xx.xx.xx.xx:443>
ServerName www.hostdomian.jp
ServerAdmin webmaster@hostdomian.jp
ServerAlias hostdomian.jp
DocumentRoot /home/www/public_shtml/
以下ssl鍵のパスなど…
</VirtualHost>
<VirtualHost xx.xx.xx.xx:444>
ServerName www.virtualdomian.jp
ServerAdmin webmaster@virtualdomian.jp
ServerAlias virtualdomian.jp
DocumentRoot /home/virtual_user/public_shtml/
以下ssl鍵のパスなど…
</VirtualHost>




綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2004-08-25 11:21
こんにちは。

ネームベースのバーチャルホストでは複数のSSLは使えません。
どうしてもバーチャルホストで複数利用したいということであれば
IPベースで運用することになります。

このあたりはSSLの仕組みを調べてもらえれば解ると思います。
たかぴ
会議室デビュー日: 2004/08/24
投稿数: 18
投稿日時: 2004-08-25 17:09
こんにちは、たかぴです。
綾瀬さま、ご教授ありがとうございました。
そうですよね、やっぱり無理ですよね。

色々、試したのですがどうしても
https://バーチャルドメイン名だと443を使ってしまうみたいです。
証明書もホストドメインのものになってしまいました。
(従って、アクセスするとサイトの名前と一致しない〜って表示されます。)

なぜ、このような事をしてるかと言うと既にホストドメインで、SSLを使用して
いるのですが、このサーバに入ってる別のサイト(バーチャルホストで運用中)が
SSLを利用したいと言うので、試していました。

例えば、普通にインターネットを利用している人がショッピングサイトで
買い物をする際に
アドレスの部分が、https://www.virtualhost.jp:444となっているのに
不信感を抱くかどうかという問題です。

僕としては、セキュリティが守られているかどうかが問題で、見え方なんか関係無いなんて思いますけど一般の事業者さんは、やっぱ見え方が気になるようで嫌みたいです。
※ここで言う見え方とは、アドレス欄に表示されるドメイン名の事です。

https://www.virtualhost.jpというのは、かっこいいけどhttps://www.virtualhost.jp:444は「なんだかよくわからなくて心配」と、セキュリティがどうこうというよりも、「かっこ良いか悪いか」の次元の話なのです。
もちろんipを用意すれば、解決しますけどそれで料金が高くなるのも嫌という事なのです。



NUNU
会議室デビュー日: 2004/02/26
投稿数: 5
投稿日時: 2005-10-22 20:02
共有CA でしたら、non-ipでも可能ではないでしょうか。
どなたが、御教授をいただけませんでしょうか。

宜しくお願い致します。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-10-22 20:25
こんばんは。
引用:
NUNUさんの書き込み (2005-10-22 20:02) より:
共有CA でしたら、non-ipでも可能ではないでしょうか。
どなたが、御教授をいただけませんでしょうか。


IPアドレス・ポート番号の組1つでは、1つのドメイン名でしかSSLは使用できません。

正確に言えば、Apache上で名前ベースのバーチャルホスト+SSLの設定だけはできます。
しかしその設定で動作させても、SSLとしての意味をなしません
サーバ証明書を提示する段階では、アプリケーション層の通信は開始されておらず、ドメイン名を使い分けることができないからです。
※名前ベースのバーチャルホストに限らず、Apacheの ServerAliasディレクティブも使う意味がなくなります。

これは Apacheに限らず、どのサーバソフトウェアを使用しても同様です。SSL/TLS自体にその機能が無いためです。
引用:
たかぴさんの書き込み (2004-08-25 17:09) より:
https://www.virtualhost.jp というのは、かっこいいけどhttps://www.virtualhost.jp:444 は「なんだかよくわからなくて心配」と、セキュリティがどうこうというよりも、「かっこ良いか悪いか」の次元の話なのです。


かなり時間が経ってのコメントで申し訳ないですが…、これは仕方の無い事だと思います。
こういう事を考えて SSL/TLS が設計されていれば良かったのですが…、今更ですしね。

それに、proxy を使用している所では、セキュリティ上ポート 443以外の CONNECTを許可しない例もありますし、その場合はそもそもポート 444の https通信が使用できないということになります。

追記:
 …ふと思いつくところがあって、次のようなものを調べてみました。
 一つの証明書で複数ドメインに対応らしいですね。
ひょっとすると、一つの証明書に複数のCNを入れておけば、その分複数ドメイン併用ができる、ということでしょうか??
…申し訳ないですが、ちょっと上のコメントは一時撤回とさせて頂きます。
※…NUNUさんの共有CAというのは…、この事??

[ メッセージ編集済み 編集者: angel 編集日時 2005-10-22 22:25 ]
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2005-10-25 13:35
こんちは。
引用:

angelさんの書き込み (2005-10-22 20:25) より:
 …ふと思いつくところがあって、次のようなものを調べてみました。
 一つの証明書で複数ドメインに対応らしいですね。
ひょっとすると、一つの証明書に複数のCNを入れておけば、その分複数ドメイン併用ができる、ということでしょうか??


これは複数のドメインではなく、複数のFQDN…というかサブドメインに対応ですね。
あくまでドメイン名は同じです。
他社の同じようなサービスと違いが無ければ、CNが*.example.co.jpとなってる
証明書を発行してくれるサービスのはずです。
なので、abc.example.co.jpでもdef.example.co.jpでも1つの証明書で対応可能という
ものですね。

1

スキルアップ/キャリアアップ(JOB@IT)