2008年11月 5日

[Apache-Users 7182] Re:リバースプロキシでのSSL通信について

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

加藤泰文です.

>>> On Wed, 5 Nov 2008 11:35:45 +0900
in message "[Apache-Users 7181] Re: リバースプロキシでのSSL通信について"
-san wrote:


> リバースプロキシ+SSLの場合
>  インターネットからのデータは
>  Redhatで証明書及び鍵を持っていた場合は、複合はapacheで行い
>  平文をリバースプロキシするのでしょうか?
>  インターネットとのやりとりで内部サーバから出ていくデータは
>  (かえりのデータ)apahcheで暗号化して出ていくのでしょうか?

どちらでも出来ると思います.

>  暗号化したままのデータを内部サーバまで届けたい場合
>  証明書及び鍵は内部サーバだけで動くものなのでしょうか?
>  両方に持っていなければ、動かないものなのでしょうか?

mod_ssl が動くのに証明書&鍵ペアが必要ですよね.当然 IIS が SSL/TLS で
動くにも証明書&鍵ペアが必要ですよね.

>  mod-sslのディレクティブの中にSSLproxyEngine ON という設定が
>  あるのですが、これは暗号化したままのデータを内部サーバに届けられるのか
>  それともSSLはapacheで複合してそのあとリバースプロキシできるものなのか
>  教えてください。

実際に設定してみて,パケットの中身を覗いてみれば良いのではないでしょう
かね.暗号化されていればコンテンツは見れませんし.

>  そして未だにmod-sslを組み込んでapacheが作れずにいます・・
>  証明書等は作成できたのですが
>  ./configure --enable-ssl ではうまくいかず
>  ./configure --enable-ssl --with-ssl=/xx/xx では
>  No recognized SSL/TLS toolkit detected でエラーです。
> パッケージとしてopensslがインストールされています。
> このどの情報をwith-sslに設定するのでしょうか?

多分 openssl-devel パッケージがインストールされていないんじゃないです
かね.これだけの情報では絶対とは言えませんけど.

ですが,解決したい問題は「mod_ssl をソースから入れること」ではないです
よね.まずは,要件を満たすには,ソースからmod_ssl を入れる必要があるの
か,それともパッケージで充分なのか,を検討する必要がありませんか? やみ
くもにソースから入れていても,たとえそれが出来たとしても,単なる無駄足
になる可能性もありますよね.
# そればかりか今後の保守に悪影響を与える可能性もあります.

> またパッケージとしてはmod-ssl 1:2.2.3-11がインストールされています。
> これをアンインストールすべきなのか、これを利用出来るのかもあわせて
> 教えてください。

書かれている要件だけだと,パッケージインストールされている mod_ssl で
可能だと思います.が,詳しい要件は知りませんので,絶対とは言えません.
あくまでメールに書かれている情報から想像して,です.
# お金をもらって仕事をしているのであれば,それを判断するのも仕事のうち
# です.

前半の部分,リバースプロキシを構築する部分では「うまくいきません」とし
か書かれてませんが,何がうまくいかないのでしょう? それを書いてみれば,
有効なアドバイスが得られるかも知れませんよ.

既にここの場でもいくつかアドバイスはもらっているような気がしますし,過
去のアドバイスの中でも回答者から質問も出ているような気がしますが,それ
に対する回答や,やってみたけどうまくいかない点等についてはまったくなし
で,一方的に「うまくいきません」と聞くばかりでは,回答も得られなくなる
ような気がします.それと質問のメールからは,ご自身で色々調べたり,マニュ
アル(Apache もそうですが,Linux のマニュアル等) を読んでいるように見え
ませんが,ご覧ですか?

お仕事でなさっているのであれば,必要なスキルを持った人に頼むとか,外部
の業者に依頼するとかというのも手です.

--
==============================================
(((( 加藤泰文
○-○ karma @ jazz.email.ne.jp
==============================================
(Web Page) http://www.ne.jp/asahi/ka/to/
==============================================
--
入退会・変更・配送一時停止は以下へ
http://mm.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2008年11月 5日 13:44
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/78644
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。