Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する

文:Vincent Danen(TechRepublic) 翻訳校正:村上雅章・野崎裕子
2009-10-26 08:00:00
  • このエントリーをはてなブックマークに追加

 現実面に目を向けると、本格的なEコマースWebサイト、あるいは幅広いユーザーを対象とする必要のあるWebサイトにとって、このソリューションはまだ受け入れにくいものと言えるだろう。とは言うものの、今後1年ほどの間に、より多くのブラウザがSNIをサポートするようになるだろう。また、SNIをサポートしているブラウザにアップグレードする人々の数も増えるはずである。

 テスト目的や、クライアントのブラウザを指定できるような社内向けのサイトを運用する場合、(Firefoxであればかなり古いバージョンでもSNIがサポートされているという点を考慮すると)SNIの使用は極めて有益な選択肢となるはずだ。

 Apacheの設定ファイルにおける設定例は以下の通りである。

Listen 443
NameVirtualHost *:443
SSLStrictSNIVHostCheck off

DocumentRoot /srv/www/example1.com/
ServerName www.example1.com
...


DocumentRoot /srv/www/example2.com/
ServerName www.example2.com
...

 上記の例では、ポート443でApacheを待機(listen)させ、すべてのIPアドレスに対する仮想ホストリクエストを取り扱うよう設定している。新たなキーワードである「SSLStrictSNIVHostCheck」を無効化しているため、クライアントがSNIをサポートしていない場合でも403エラーが発生することはない。そういったリクエストは、先に定義されているSSLサイト(上記の例ではexample1.com)にリダイレクトされることになる。つまり、デフォルトとなるサイトを先に定義しておく必要があるわけだ。

 一番の難関はクライアントのブラウザによるSNIのサポートであるが、SNI対応ブラウザは今後増えていくことだろう。一方、Apacheのアップグレードとその設定は非常にシンプルかつ直接的な作業となるはずである。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

  • コメント(1件)
#1 anonymous   2010-08-30 03:27:02
『とは言うものの』という語句が多すぎて、文章が二転三転している印象を受けます。
とは言うものの実際には文章は二転三転しておらず、一貫しておりとても役立ちました。
特に、名前ベースのSSL対応のブラウザのリスト一覧は、実状が分かり易かったです。
IE6が対応していないのです。アクセスログを見ると未だに10%前後のIEからのアクセスがあるという記事を見た事があります。とは言うものの、これは時間が解決してくれると思います。WindowsVistaや7など、いづれXP以降のOSに移行する人が多いでしょうし、それ以外のOSを使う人も増えるでしょう。とは言うものの、将来的には問題なくても今すぐWebサイトに導入してしまうと、その10%前後の方達のアクセスの可否が少し不安になります。
とは言うものの・・・とは言うものの・・・とはいうものの・・・トハイウモノノ・・・
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]