CentOS の Apache でクライアント証明書認証(修正版) - tksm.org
<2010/02/13追記> MTからWordpressにインポートした時に失敗していたようで、記事が途中できれてました(^^; 確認したい内容があって自分で調べてて気が付きました。修正しましたので最後まで見れるようになりました。 CentOSのApacheでクライアント証明書認証をしてみる。CentOS5の場合、ちょっと手順を工夫しないとIEでつながらなかったので一部修正しました。(OpenSSLのバージョンの関係だと思うけど。) IEでクライアント証明書をインポートしてつなぐと、 「証明のパスの証明機関は証明書を発行する権限がないか、この証明書をエンドエンティティ証明書として使うないとができないため、この証明書は無効です。」 となってしまう件の対応です。 openssl.cnfで、「basicConstraints=CA:true」でCAを作成していないと出る様子。 作業は「/var/
軽量高速Webサーバのnginxで静的コンテンツ配信とキャッシュコントロール
nginxとは? nginxはロシアで開発されている軽量で高速なWebサーバです。 現在シェアは 7% 近くあるようです。もちろんApacheに比べれば少ないですが、Apache 55%、IIS 25%, nginx 7%で3番目に使われているWebサーバになります。 昔は、Pound+Lighttpd+Apacheの組み合わせをよく使っていましたが、ここ数年はnginx+Apacheとかになりました。 主に、静的コンテンツをnginxが受け持ち、PHPなどの動的コンテンツはApacheに渡す形になります。Railsを使う場合は、nginx+Unicornの組み合わせが多いです。 いまさらな感じもありますが、インフラ周りの見直しも含めて紹介したいと思います。 静的コンテンツをnginxに任せる nginx+Apacheの場合の設定は次のようになります。(nginxがport 80、Apac
Apacheのクライアント認証をしてみた。 | 黒ぶちメガネのblog
Apacheのクライアント認証設定をした時の備忘録です。 ■流れ 「www.example.com」にhttpsアクセスした場合、クライアントが証明書を持っていないと接続できないようにします。 ■サーバ使用OS CentOS 5.5 64bit ■クライアント使用OS Windows 7 64bit ■使用ソフト httpd.x86_64 0:2.2.3-43.el5.centos.3 mod_ssl.x86_64 1:2.2.3-43.el5.centos.3 ■作成するもの 自己CA証明書 自己サーバ証明書 SSLで使用するサーバの秘密鍵 署名要求ファイル(CSR) CAから署名されたファイル(CRT) クライアント証明書 ■クライアント認証の仕組み http://alk.dip.jp/apache2-default/sv290.html ■スクリプトについて 手順が長ったらしいので、
独自認証局の構築とクライアント認証 CentOS 5.3 + OpenSSL + Apache - どぅーちゅいむーにー
かなり久しぶりの記事になったなぁ・・・ 備忘録。 SSL 環境でクライアント認証を行うシステムで、クライアント証明書をUSBトークンに格納して・・・という要件の調査にあたって構築した環境のメモ。 ちょいと古めの環境ですが。 # uname -a Linux hogehoge.server.jp 2.6.18-164.el5 #1 SMP Thu Sep 3 03:33:56 EDT 2009 i686 i686 i386 GNU/Linux # cat /etc/redhat-release CentOS release 5.3 (Final)環境情報? CA の場所:/etc/pki/CA 作業場所?:/etc/pki/tls/miscまずは CA の構築。 openssl.conf の修正箇所とか。この環境、何度か使っているので何を修正したかよくわからなくなってきていますが、とりあえず
SSL関連の情報[Apache SSL導入からクライアント認証まで]CentOS 5.2版 - ギジュツメモ
以前書いた記事 SSL関連の情報[Apache SSL導入からクライアント認証まで] の焼き直しです、最近のOpenSSLのパッケージでスクリプトの使い勝手が変わってきたので 最近のパッケージでのコマンドをメモ 環境はCentOS 5.2をデフォルトインストールした状態とします。 RHELの5系を本番環境で使っていますが基本変わりません。 知っておくと便利なこと /etc/pki/tls/misc/CA.pl (opensslのユーティリティスクリプト /etc/pki/tls/misc/CA も基本一緒どっち使っても良い) ① /etc/pki/tls/misc/CA.pl -newca 認証局を作成(./demoCA/cacert.pem という認証局の証明書を生成) ② /etc/pki/tls/misc/CA.pl -newreq 新しい秘密鍵(newkey.pem)と証明書要求
![SSL関連の情報[Apache SSL導入からクライアント認証まで]CentOS 5.2版 - ギジュツメモ](https://cdn-ak-scissors.b.st-hatena.com/image/square/687d72d8de7eeee6217ba06b58d2af73cc383e87/height=288;version=1;width=512/http%3A%2F%2Fbellks-tec.cocolog-nifty.com%2F.shared-pleasy%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
Apache のリバースプロキシの設定方法 - WebOS Goodies
本日は Google Gears 関連のもうひとつのネタを書こうと思ったのですが、間に合わなかったので最近仕事で使った Apache のリバースプロキシ機能の設定方法などをご紹介します。リバースプロキシは、特定のディレクトリ以下へのリクエストを他の Web サーバーに中継する機能です。 LAN 内の複数のマシンで稼動している Web サイトをひとつのグローバル IP で公開したり、 Apache 以外の Web サーバー(Rails でよく使われる mongrel とか)を Apache の Web サイトに統合したりとかが簡単にできます。 Web サイトを柔軟に構築するために、覚えておくと便利ですよ。 前提条件 Apache のリバースプロキシ機能を利用するためには、 mod_proxy を組み込んだ Apache が必要です。通常の Linux ディストリビューションなどではデフォルト
mod_proxy_balancer + mod_disk_cache on Apache 2.2.3 - 積み重ねた日々
Apache2.2.3の環境下で mod_proxy_balancer と mod_disk_cache を使い、キャッシュサーバを構築したのでメモしておきます。 イメージする構成としては、まずフロントエンドにApacheのReverse Proxy Serverがあり、そしてその裏側に実際にアクセスする複数台のWeb Server(以下の例では5台)があります。 クライアントからのアクセスを受けると、リバースプロキシは、負荷分散アルゴリズムにしたがって、実際のウェブサーバへリクエストを投げることになります。その際、画像コンテンツのみをキャッシュし、次回以降のアクセスではキャッシュファイルのみを返すようにします。 ということで早速設定してみます。 mod_proxy_balancerモジュールを有効にするためには、mod_proxyおよびmod_proxy_httpモジュールが有効になって
さくらVPSのWordPressをチューニングして30倍高速化した方法 - 原宿・表参道.jp
今日はさくらVPSに載せているWordPressのパフォーマンスをチューニングして高速化に成功したので安心して眠れるという話をします。 2.5ページ/秒だったのが70ページ/秒と30倍高速化。 以前はDaily数千PVで重くなっていたサイトがDaily3.6万PVを余裕で捌けるようになりました。 #ちなみにproxy cacheという手法はwordpressでなくても動的コンテンツ全般に有効です。 ▼サーバ気にしなくて良くなったので今週末新宿御苑に花見に行けました☆。枝ぶりがいいさくらが多くてほんといいところだと思うの。 WordPressチューニング高速化結果http://hara19.jp/のサーバ環境と測定結果は以下のとおり。 WordPress稼働環境さくらVPS 1GB/CentOS5.5/PHP5.3/MySQL5.5/WordPress3.1。 WEBサーバはチューニングにあ
Webサーバ勉強会に行ってきました(+資料公開) - 元RX-7乗りの適当な日々
記念すべき第1回となる「Webサーバ勉強会」に行ってきました。 ゆくゆくはApacheのソースコードリーディングや他のWebサーバなど色々やりたいですが、まずはちゃんとApacheを理解しようという事で第1回は「Apache:httpd.conf デフォルト設定わかるかな?」というテーマでやろうと思います。まず僕は全部の意味分かっていませんので、気軽にお互いが補完し合う形で出来れば良いなと思っています。 Webサーバ勉強会はじめてみます。 - oranie's blog 形式としては、参加者間でApacheのconfigの各オプションについて分担を決めて、それぞれの担当箇所を調べてきて発表するというもの。 こういった20人の参加者のほとんどが発表するといった形式の勉強会は初めてだったので新鮮で面白かったです。私自身もかなり勉強になりました。mod_spelingとか初めて知った。(一人目か
Test::Apache::RewriteRules で mod_rewrite のテストを書こう - 大西日記 - はてなダイアリー
YAPC::Asia Tokyo 2010 で LT してきました。以下はその資料(に少し説明を追加したもの)です。 mod_rewrite 正規表現によるURL書き換えモジュール スイス製アーミーナイフ / 黒魔術 まだ Apache 使ってますよね? reverse proxy とか… はてなの mod_rewrite 活用事例 ほぼ reverse proxy URLにより用途別のbackendに振り分ける 用途によりbackendを分けリソース効率化 特定のアクセスをキャッシュサーバーに振る URL加工 Squidにキャッシュさせたいが同一URLで異なるコンテンツを返す場合がある →クエリに情報を付加する BAN! 便利な半面… 増える! $ cat jp.www.proxy.apache.conf | grep Rewrite | wc -l 179 テストしづらい! → 一行加
Linux のプロセスが Copy on Write で共有しているメモリのサイズを調べる
Linux は fork で子プロセスを作成した場合、親の仮想メモリ空間の内容を子へコピーする必要があります。しかしまともに全空間をコピーしていたのでは fork のコストが高くなってしまいますし、子が親と同じようなプロセスとして動作し続ける場合は、内容の重複したページが多数できてしまい、効率がよくありません。 そこで、Linux の仮想メモリは、メモリ空間を舐めてコピーするのではなく、はじめは親子でメモリ領域を共有しておいて、書き込みがあった時点で、その書き込みのあったページだけを親子で個別に持つという仕組みでこの問題を回避します。Copy-On-Write (CoW) と呼ばれる戦略です。共有メモリページは、親子それぞれの仮想メモリ空間を同一の物理メモリにマッピングすることで実現されます。より詳しくは コピーオンライト - Wikipedia などを参照してください。 この CoW に
apacheのMaxClientsの適正値調べた - うまいぼうぶろぐ
参考. http://www.typemiss.net/blog/kounoike/20060202-61 http://d.hatena.ne.jp/babie/20060201/p3 http://yutuki.blogspot.com/2007/08/apache-maxclients.html http://d.hatena.ne.jp/hideden/20080409/1207740439 わけあってMaxClientsの設定を色々調べました。初っ端から言い訳ですが勉強中なので、あまり鵜呑みにしないでください。 追記 topのSHRの項目が共有メモリサイズだと思ってたけど、naoyaさんのblogによると違うらしい。 http://d.hatena.ne.jp/naoya/20080212/1202830671 なので↓に出てくるtopのSHMを使っている計算は間違ってる模様。同
Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
格安VPSサーバで実用的なRuby on Railsアプリ運用環境を構築する
はじめに Virtual Private Server(VPS)とは、一台のサーバー上で仮想サーバーを何台も起動させることで、個々のユーザーに対して管理者権限を付与し、専用サーバーのような環境を提供するサービスのことをいいます。VPSのユーザーはサーバーのリソースを自由に使用でき、CGI実行環境のカスタマイズや大規模データベースの利用などが可能です。 ServersMan@VPSは、そのVPSを格安で提供するサービスの一つ。例えば、ServersMan@VPSの「Entryプラン」では、HDD容量10GB、メモリー容量256MBのVPSが、初期費用無料、月額490円で利用できます。 また、料金の安さだけではありません。申し込んでからすぐ利用できる、VPS環境を簡単にリセットできる、マニュアルや管理ツールが充実しているというメリットもありますので、試験的な開発や個人的な開発でサーバーのチュー
プロのサーバ管理者がApacheのStartServers, (Min|Max)SpareServers, MaxClientsを同じにする理由 - blog.nomadscafe.jp
kazuhoさんが「プロのサーバ管理者の間では存在価値が疑問視されて久しい (Min|Max)SpareServers だと思う」と書いたり、hirose31さんが去年のYAPC::Asiaで{Start,{Min,Max}Spare}Servers,MaxClientsは同じにしているよと発表したり、実際前職のサーバはそのように設定されていたのですが、自分でうまく説明ができてなかったので、調べながら書いてみた。 本当はイントラブログ用に書いていたものですが、がんばったので転載。 前提として、CPUの使用率におけるsystemとfork Re: クラウドがネットワークゲーム開発者にもたらしてくれたもの - blog.nomadscafe.jpでも書いている通りforkってのはサーバにとって重い部類の処理になります。つまり負荷の高いときにforkを大量に行うのはしてはならないことの1つです。
ApacheAccessorを試してみた - Do You PHP はてブロ
なにやら変り種の拡張モジュールがリリースされたようです。 ApacheAccessor lets you retrieve Apache configuration (at runtime of current proccess) as PHP array or dump it as HTML table. 稼働中のApacheプロセスの設定内容を取得したりdumpする拡張モジュールだそうで。。。ということで、ざっと試してみました。 インストール お決まりのpeclコマンドからインストール。途中で、apxsコマンドとaprconfig(apr-config)コマンドのパスを聞いてきますので、適宜入力します。以下は、CentOS 5.4付属のrpm版httpd-devel、apr-develの各パッケージをインストールしていた場合の例です。 $ sudo pecl install apach
手軽に出来るApacheモジュール開発
こんにちは、アシアルの井川です。 今日はApacheモジュール開発方法を紹介したいと思います。難しそうに聞こえるかもしれませんが、Apacheのツール(apxs)を使うので意外と簡単に作成できます。また、今回作成するのは"hello world"をHTMLの先頭に加えるだけのシンプルなモジュールです。 本当に簡単なので、ぜひ一度作ってみて下さい。 開発の流れは次の通りです。 0. 開発環境の準備 1. モジュールのひな形の作成 2. コードの記述(C言語) 3. コンパイルしてインストール 4. httpdの再起動 開発環境は既にできている前提で話を進めます。必要なパッケージは ・httpd ・httpd-devel ・gcc であり、検証環境は次の通りです。 ・CentOS 5.5 ・Apache 2.2.3 ただし、httpdにso_moduleが組み込まれている必要があります。次のコ
サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
Kazuho@Cybozu Labs: Parallel::Scoreboard でワーカープロセスをモニタリングする方法
cho45 さんの Plack::Middleware::ServerStatus (Starman や Starlet で Apache の mod_status 相当の情報を得られるようにする - 冬通りに消え行く制服ガールは、夢物語にリアルを求めない。 - subtech) に続き、昨日 kazeburo さんが「StarmanやStarletでmod_statusっぽい情報を得る簡易版Plack::Middleware::ServerStatus - blog.nomadscafe.jp」というエントリを書かれていらっしゃいましたが、ウェブアプリケーションサーバに限らず、複数のワーカープロセスが動作するシステムにおいて、それらの状況をモニタリングするためのスコアボードがほしい、というケースはよくあることだと思います。 また、プロセス名を使う方法は、他の監視ツールとの相性が悪い、プロ
フロント/バックのreverse proxy構成で、指定秒数以内に必ずレスポンスを返す方法 - (ひ)メモ
目的 フロントがHTTPリクエストを受けて、バックエンドのアプリケーションサーバにreverse proxyするような構成において、指定秒数以内に何かしらのレスポンスを返したい。 200が返せない場合は、処理を打ち切って500を返したい。 背景 フロントでApacheやNginxをreverse proxyとして使っている場合、バックエンドが無応答になってしまうと、クライアントにレスポンスが返るのはデフォルトで数十〜数百秒後(ApacheのTimeoutのデフォルトは300秒、Nginxのproxy_read_timeoutのデフォルトは60秒)になってしまいます。 通常のWebサービスではこのオーダーのタイムアウトでもいいのかもしれませんが、数秒以内に(エラーでもいいので)レスポンスを返すことが求められる環境も存在します。(最近、特に多いのではないでしょうか:P) もちろんバックエンドが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
