Windows + J2SDK 1.4 + Apache 2.0 + SSL + Tomcat 4.1 セットアップ

準備

• J2SDK 1.4.2_02
  http://java.sun.com/j2se/1.4.2/ja/download.html から 「Windows オフラインインストール」の「SDK」をダウンロードします。
  
  
• Apache 2.0
  http://hunter.campbus.com/ から Apahce 2.0 をダウンロードします。
  ここでは Apache 2.0.48Apache_2.0.48-Openssl_0.9.7c-Win32.zip をダウンロードします。
  
  
• Apache-Tomcat mod_jk JK2
  http://www.t.ring.gr.jp/archives/net/apache/dist/jakarta/tomcat-connectors/jk2/binaries/win32/ から JK2 の最新版のモジュールをダウンロードします。
  ここでは Apache2 用 JK2 2.0.2 jakarta-tomcat-connectors-jk2.0.2-win32-apache2.0.43.zip をダウンロードします。
  
  
• Tomcat 4.1
  http://www.t.ring.gr.jp/archives/net/apache/dist/jakarta/tomcat-4/ 以下のディレクトリにある最新版のモジュールをダウンロードします。
  ここでは http://www.t.ring.gr.jp/archives/net/apache/dist/jakarta/tomcat-4/v4.1.29/bin/ にある jakarta-tomcat-4.1.29.exe  をダウンロードします。
  

インストール

J2SDK 1.4

Apache 2.0

1. ダウンロードした Apache_2.0.48-Openssl_0.9.7c-Win32.zip を c:\apache に展開します。
   ZIP ファイルに同梱されているコンフィグレーションファイル(httpd.conf, ssl.conf)は、c:\apache に展開されることを想定して記述されています。
   別のディレクトリに展開する場合は、それに合わせてコンフィグレーションを編集する必要があります。
   
   
2. コマンドプロンプトを開いて、Apache2 をサービスに登録します。
   

   C:\WINNT>cd \ C:\>cd \apache\bin C:\apache\bin>apache -k install

   
   Apache2 というサービスが登録されました。
   
   

Tomcat 4.1

JK2

1. ダウンロードした jakarta-tomcat-connectors-jk2.0.2-win32-apache2.0.43.zip を展開します。
   
   
2. 展開したファイルの中から mod_jk2-2.0.43.dll を c:\apache\modules にコピーします。
   

証明書作成

1. 証明書用ディレクトリ作成。
   

   C:\WINNT>cd \apache\conf C:\apache\conf>md certs C:\apache\conf>cd certs

   
   
2. 秘密鍵作成。(1024 ビットの RSA 形式、暗号化形式は Triple DES。)
   

   C:\apache\conf\certs>..\..\bin\openssl genrsa -des3 1024 > webtribe.key.pem Loading 'screen' into random state - done Generating RSA private key, 1024 bit long modulus .......................................................++++++ ....................++++++ e is 65537 (0x10001) Enter pass phrase:  <== パスフレーズを入力します。 Verifying - Enter pass phrase:  <== もう一度パスフレーズを入力します。

   ここで入力したパスフレーズは後で使いますので、忘れないようにしてください。
   
   
3.  秘密鍵からパスフレーズを削除。
   

   C:\apache\conf\certs>..\..\bin\openssl rsa -in webtribe.key.pem -out webtribe.key.pem Enter pass phrase for webtribe.key.pem:  <== 先ほど入力したパスフレーズを入力します writing RSA key

   秘密鍵からパスフレーズを削除すると、Apache 起動時にパスフレーズを入力する必要がなくなります。
   安全のため、Apache 起動時にパスフレーズを入力するようにしておきたい方は、この作業はスキップしてください。
   (Apache をサービス起動する場合は、起動時にパスフレーズを入力する箇所がありませんので、パスフレーズを削除しておく必要があると思います。)
   
   
4. CSR を作成。
   まず、次の内容で c:\apache\conf\certs\openssl.cnf を作成します。
   

   [ req ] default_bits        = 1024 default_keyfile     = privkey.pem distinguished_name    = req_distinguished_name attributes        = req_attributes x509_extensions    = v3_ca string_mask = nombstr [ req_distinguished_name ] countryName            = Country Name (2 letter code) countryName_default        = JP countryName_min            = 2 countryName_max            = 2 stateOrProvinceName        = State or Province Name (full name) stateOrProvinceName_default    = Osaka localityName            = Locality Name (eg, city) 0.organizationName        = Organization Name (eg, company) 0.organizationName_default    = Media Knowledge Industrial Co.,Ltd. organizationalUnitName        = Organizational Unit Name (eg, section) commonName            = Common Name (eg, YOUR name) commonName_max            = 64 emailAddress            = Email Address emailAddress_max        = 64 [ req_attributes ] challengePassword        = A challenge password challengePassword_min        = 4 challengePassword_max        = 20 unstructuredName        = An optional company name [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment [ v3_ca ] subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always,issuer:always

   
   サンプルをダウンロード。(ファイル名は openssl.cnf.txt となっていますので、ダウンロード後 openssl.cnf にリネームしてください。)
   
   作成した openssl.cnf を参照するよう環境変数を設定して、CSR を作成します。
   

   C:\apache\conf\certs>set OPENSSL_CONF=openssl.cnf C:\apache\conf\certs>..\..\bin\openssl req -new -key webtribe.key.pem -out webtribe.csr.pem You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [JP]:JP State or Province Name (full name) [Osaka]:Osaka Locality Name (eg, city) []:Osaka Organization Name (eg, company) [Media Knowledge Industrial Co.,Ltd.]:Media Knowledge Industrial Co.,Ltd. Organizational Unit Name (eg, section) []:Product Common Name (eg, YOUR name) []:webtribe.mki.ne.jp Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

   この時、Common Name にはサーバ名を指定します。
   サーバ名とは、URL の一部として指定するホスト名を指します。
   例えば、クライアントから https://webtribe.mki.ne.jp/webtribe/RunClient.jnlp に接続して JWS を起動する場合は、「webtribe.mki.ne.jp」を Common Name に指定します。
   実行時には、証明書の Common Name と接続先 URL のホスト名が一致するかどうかチェックされます。
   
   
5. 自己署名の証明書作成。
   

   C:\apache\conf\certs>..\..\bin\openssl x509 -in webtribe.csr.pem -out webtribe.cert.pem -req -signkey webtribe.key.pem -days 365 Loading 'screen' into random state - done Signature ok subject=/C=JP/ST=Osaka/L=Osaka/O=Media Knowledge Industrial Co.,Ltd./OU=Product/CN=webtribe.mki.ne.jp Getting Private key

   -days パラメータは証明書の有効期限が切れるまでの日数を指定します。
   

コンフィグレーション

Apache 2.0

• /opt/apache2/conf/httpd.conf
  次の 4行を編集します。
  

  # コメントを解除 (変更前) #LoadModule ssl_module modules/mod_ssl.so (変更後) LoadModule ssl_module modules/mod_ssl.so # サーバ管理者のメールアドレスを指定 (変更前) ServerAdmin @@ServerAdmin@@ (変更後) ServerAdmin webmaster@mki.ne.jp # サーバ名を指定(CSR の Common Name と同じ名前) (変更前) ServerName localhost:80 (変更後) ServerName webtribe.mki.ne.jp # 省略時の charset(HTTP ヘッダに設定)を指定 (変更前) AddDefaultCharset ISO-8859-1 (変更後) AddDefaultCharset Off

  ServerName は証明書作成時に Common Name に指定したものと同じ名前を指定します。
  AddDefaultCharset は Apache が強制的に http ヘッダに charset を付けないように Off に設定していますが、運用に合わせて特定の charset を指定しても構いません。
  
  さらに /opt/apache2/conf/httpd.conf に次の 1行を追加します。
  

  LoadModule jk2_module modules/mod_jk2-2.0.43.dll

  
  
• c:\apache\conf\ssl.conf をそれぞれ次のように編集します。
  

  # コメントを解除 (変更前) #SSLSessionCache        none (変更後) SSLSessionCache        none # コメントアウト (変更前) SSLSessionCache         dbm:@exp_runtimedir@/ssl_scache (変更後) #SSLSessionCache         dbm:@exp_runtimedir@/ssl_scache # コメントアウト (変更前) SSLSessionCacheTimeout  300 (変更後) #SSLSessionCacheTimeout  300 # コメントアウト (変更前) SSLMutex  file:@exp_runtimedir@/ssl_mutex (変更後) #SSLMutex  file:@exp_runtimedir@/ssl_mutex # ドキュメントルートを指定 (変更前) DocumentRoot "@exp_htdocsdir@" (変更後) DocumentRoot "htdocs" # サーバ名を指定(CSR の Common Name と同じ名前) (変更前) ServerName www.example.com:443 (変更後) ServerName   webtribe.mki.ne.jp # サーバ管理者のメールアドレス (変更前) ServerAdmin you@example.com (変更後) ServerAdmin  webmaster@mki.ne.jp # エラーログファイルのパス (変更前) ErrorLog @exp_logfiledir@/error_log (変更後) ErrorLog     logs/error_log # アクセスログファイルのパス (変更前) TransferLog @exp_logfiledir@/access_log (変更後) TransferLog  logs/access_log # 証明書ファイルのパス (変更前) SSLCertificateFile @exp_sysconfdir@/ssl.crt/server.crt (変更後) SSLCertificateFile conf/certs/webtribe.cert.pem # 秘密鍵ファイルのパス (変更前) SSLCertificateKeyFile @exp_sysconfdir@/ssl.key/server.key (変更後) SSLCertificateKeyFile conf/certs/webtribe.key.pem # カスタムログファイルのパス (変更前) CustomLog @exp_logfiledir@/ssl_request_log \ (変更後) CustomLog logs/ssl_request_log \

  ServerName, ServerAdmin には使用している環境に合わせて、適切な名称を設定します。
  ServerName : CSR を作成する時に Common Name に指定した、サーバにアクセスするためのホスト名。
  ServerAdmin : サーバ管理者のメールアドレス。
  SSLSessionCache をWindows 環境で有効にすると、サービス停止時にエラー(アプリケーション例外 - 例外番号:  c0000005 (アクセス違反))が発生する場合がありますので、ここでは none を指定しています。
  
  
• Apache を Windows のサービスから SSL 有効な状態で起動するには、次のいずれかの設定を行う必要があります。
  
  1. レジストリを次のように編集し、SSL のフラグを有効にします。
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2\ImagePath
     (変更前) "C:\apache\bin\Apache.exe" -k runservice
     (変更後) "C:\apache\bin\Apache.exe" -D SSL -k runservice
     
     
  2. ssl.conf から <IfDefine SSL> と </IfDefine> の行をコメントにし、常に SSL の設定が有効になるようにします。
     15行目付近
     

     (変更前) <IfDefine SSL> (変更後) #<IfDefine SSL>

     
     248行目付近
     

     (変更前) </IfDefine> (変更後) #</IfDefine>

Tomcat 4.1

• c:\Tomcat4.1\conf\server.xml
  次の行がコメントになっていたら、コメントをはずし、アクセスログが記録されるようにします。
  

  <Valve className="org.apache.catalina.valves.AccessLogValve"     directory="logs"  prefix="localhost_access_log." suffix=".txt"     pattern="common" resolveHosts="false"/>

  Tomcat のアクセスログは、問題が発生した時の切り分けに有効な場合もありますが、不要な場合はコメントされたままで構いません。
  

JK2

• c:\apache\conf\workers2.properties
  workers2.properties を新規作成し、次の内容を記述します。
  

  [logger.file:0] level=ERROR file=${serverRoot}/logs/jk2.log [shm:] disabled=1 [channel.socket:localhost:8009] [status:] [uri:/jkstatus/*] group=status: [uri:/webtribe/*]

  [uri:/webtribe/*] の行は、Apache 経由で参照させたい Tomcat の コンテキストルートを記述します。
  実際に使う Webtribe/VisualFrame のプロジェクト名に合わせて、必要な数だけ記述してください。
  

起動

Apache 2.0

Tomcat 4.1

確認

証明書インポート(クライアント Java 環境)