インフラエンジニアbacchiのわかったことまとめ

bacchi.me

Apache Linux

SSLProxyを使っているApacheを2.2から2.4にバージョンアップする際の注意点

更新日:

SSLProxy を使っている Apache を2.2から2.4にバージョンアップした際にトラブルが発生したので概要と対処方法をメモ。

CentOS5 の Apache-2.2 で下記のような Proxy の設定をしているサーバーがありました。

Proxy の部分の設定は下記のような感じ。

CentOS5 の EOL を間もなく迎えるため、CentOS7 のサーバーにリプレースしました。

CentOS7 の Apache は2.4系です。

ざっと見た感じそのまま移植して問題なさそうだったので、旧サーバーの conf を新サーバーにもっていき、Apache を起動させました。

http の Proxy は問題なかったものの、https のProxy で、下記のような Proxy_Error が発生していました。

エラーを見るに、Proxyサーバーと Backend の間で SSL の処理がうまく行っていないようでした。

エラーログを確認してみると下記のエラーが吐かれていました。

このエラーについて、Apache のドキュメントやフォーラムを確認してみました。

このエラーは、Proxy でホスト名がIPアドレスのホストにアクセスしているため、証明書の検証で CommonName(CN) や Subject Alternative Name(SANs) が一致しないというエラーのようでした。

これを踏まえ、SSLProxyCheckPeerCN offSSLProxyCheckPeerName off の設定を追加しました。

また、SSLProxyEngine on が設定されていなかったので追加しました。

※本来、SSLProxyEngine が有効になっていないと、Proxyサーバーと Backend の間で SSL通信ができないはずですが、SSLProxyMachineCertificateFile が設定されていたので通信できていたのだと思います。(調査できていないです……)

下記のように Proxy の設定を追加した所、SSLProxy がきちんと処理されました。

Sponsor Link

スポンサーリンク

Sponsor Link

スポンサーリンク

-Apache, Linux
-

Copyright© bacchi.me , 2018 AllRights Reserved.