下層ディレクトリのリバースプロキシの設定(SSL込)について

初めて質問させていただきます。

apache、リバースプロキシ、SSL、nginxの
記述方法について不明点がありご質問させていただきます。

■サーバー構成
下記のような構成でサイトを運営していて
SSL化込みのリバースプロキシの設定を行ったのですがうまくいかず途方にくれております。

①https://example.com/
②http://example.com/aaa/

①・・・apache2.2、CentOS6.7
②・・・nginx1.9、CentOS7

②はWordPressを使用しており、負荷分散のため今後は
リバースプロキシでaaaディレクトリを別サーバーで運営をしたいと思っております。
サーバーはKUSANAGI(https://kusanagi.tokyo/)を使用しています。
こちらの設定は殆どデフォルトのまま使用しています。

同時に②はSSL化したいと思っており、下記のように設定しました。
WordPress側のwp_optionsのsiteurlおよびhomeはhttpsに書き換えました。
(https://example.com/aaa/ に設定しています。)

■質問点
(1)ここで、http://example.com/aaa/ と http://②用のIP/でアクセスが来た場合、
https://example.com/aaa/ に常時リダイレクトさせたいと思っているのですが書き方がわかりません。
そのためhttps://example.com/aaa/ とhttp://example.com/aaa/ が両方混在している状態になっております。

(2)②のサーバーのSSL化について
②のサーバーにおSSLの設定は必要なのでしょうか。①のサーバーで設定しているため、不要だと勝手に思っております。

上記２点の質問についてご質問させていただきます。
長文乱文で大変申し訳ございませんが、ご教示いただけましたら幸甚で御座います。
お手数をおかけしますが、よろしくお願い致します。

■以下WEBサーバーの設定

①httpd.conf

Listen 80
～省略～
NameVirtualHost *:80
<VirtualHost *:80>
    DocumentRoot /var/www/example.com
    ServerName example.com
</VirtualHost>

<IfModule mod_proxy.c>
   ProxyRequests Off
    <Proxy *>
        Order deny,allow
        Allow from All
    </Proxy>
        ProxyPass /aaa/ http://②用のIP/aaa/
        ProxyPassReverse /aaa/ http://②用のIP/aaa/
</IFModule>

①ssl.conf

LoadModule ssl_module modules/mod_ssl.so
Listen 443
SSLPassPhraseDialog  builtin
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin

<VirtualHost _default_:443>
	DocumentRoot "/var/www/example.com/"
	ServerName example.com:443
	LogLevel warn
	SSLEngine on
	SSLProtocol all -SSLv2
	SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES
	SSLCertificateFile /usr/local/ssl/certs/○○○
	SSLCertificateKeyFile /usr/local/ssl/private/○○○
	SSLCACertificateFile /usr/local/ssl/certs/○○○
	<Files ~ "\.(cgi|shtml|phtml|php3?)$">
	    SSLOptions +StdEnvVars
	</Files>
	<Directory "/var/www/cgi-bin">
	    SSLOptions +StdEnvVars
	</Directory>
	SetEnvIf User-Agent ".*MSIE.*" \
	         nokeepalive ssl-unclean-shutdown \
	         downgrade-1.0 force-response-1.0
	CustomLog logs/ssl_request_log \
	          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

<IfModule mod_proxy.c>
   ProxyRequests Off
    <Proxy *>
        Order deny,allow
        Allow from All
    </Proxy>        SSLEngine on
        SSLProxyEngine on
        ProxyPass /aaa/ https://②用のIP/aaa/
        ProxyPassReverse /aaa/ https://②用のIP/aaa/
</IFModule>

②httpd.conf

server {
	listen 80;
	server_name ②のIP;
	省略

②ssl.conf

server {
	listen       443;
	server_name  ②のIP;
	省略

行動規範の内容に同意します

回答1件

ベストアンサー

ぱっと見ですが、

ProxyPass /aaa/ https://②用のIP/aaa/

上記で、参照するURLはhttpsで接続しています。
であれば、以下

(2)②のサーバーのSSL化について

②のサーバーにおSSLの設定は必要なのでしょうか。①のサーバーで設定しているため、不要だと勝手に思っております。

②のサーバにはhttpsでのリクエストが飛ぶので、SSLの設定が必要なのでは?と思います。

投稿2016/05/31 03:12

over

総合スコア4315

koji9412

2016/05/31 03:24

ご回答ありがとうございます。 ①ssl.conf ProxyPass /aaa/ https://②用のIP/aaa/ ProxyPassReverse /aaa/ https://②用のIP/aaa/ こちらの部分ですが、httpsにしておりますが、httpにしなければいけないのでは・・・？と思っております。併せて ①httpd.conf の/aaa/ディレクトリを参照した場合の処理をリバースプロキシではなく、リダイレクト処理で一度 http://②用のIP/aaa/ → https://example.com/aaa/ に飛ばしてから、再度 ①ssl.conf　でhttp://②用のIP/aaa/ にすれば、常時SSL化が出来そうだと思っておりますが、動かなくなりそうで不安です。要約 http://example.com/aaa/　でアクセスがあった ↓ ①http.confを見る ↓ https://example.com/aaa/　へリダイレクト ↓ ①ssl.confを見る ↓ /aaa/ を　http://②用のIO/aaa/　へリバースプロキシ ↓ ②http.confを見る ↓ サイト表示このため、②側にはSSLの設定はいらないのではないかと思っております。引き続きご教示いただけましたら幸いです。よろしくお願いいたします。

over

2016/05/31 04:05

> (2)②のサーバーのSSL化について > ②のサーバーにおSSLの設定は必要なのでしょうか。①のサーバーで設定しているため、 > 不要だと勝手に思っております。上記の質問は設定の問題ではなく運用(ここではセキュリティが該当するかと存じますが)ポリシー上必要か?ということを聞かれているのでしょうか? 運用ポリシーは、サイト毎に適切な設計をされるべきものなので一概には言えませんが、少しでも平文が流れるのを嫌うのであればSSL化となります。ただし、それなりのオーバーヘッドも生じますので、今回の「http://②用のIP/aaa/」に接続が合った場合に「https://example.com/aaa/」にリダイレクトするのであれば必要ないようにも感じます。 Web実体がhttpでのリクエストを受け付けるのであれば、以下認識で問題ないと思います。 > ProxyPass /aaa/ https://②用のIP/aaa/ > ProxyPassReverse /aaa/ https://②用のIP/aaa/ > こちらの部分ですが、httpsにしておりますが、httpにしなければいけないので > は・・・？と思っております。ただし、リバースプロキシ - Web実体間は平文でやり取りされるので、運用ポリシーと相談なさってください。で、一つ気になったのは、サーバ②でリダイレクトを行って、サーバ①でリバースプロキシでhttpで接続するとループが起きるような気がします。 > 常時SSL化が出来そうだと思っておりますが、動かなくなりそうで不安です。いきなり本番に実装するつもりであれば、検証環境で試されてからの方が良いでしょう。

koji9412

2016/05/31 05:33

ありがとうございます。＞上記の質問は設定の問題ではなく運用(ここではセキュリティが該当するかと存じますが)ポリシー上必要か?ということを聞かれているのでしょうか? ・こちらhttps://example.com/　および　https://example.com/aaa/　を実現する上での設定面でのご質問でした。＞リバースプロキシ - Web実体間は平文でやり取りされる・つまり、①がSSL対応でもリバースプロキシ先がSSL非対応の場合、平分やり取りになってしまうのですね。勉強になります。＞で、一つ気になったのは、サーバ②でリダイレクトを行って、サーバ①でリバースプロキシでhttpで接続するとループが起きるような気がします。おっしゃるとおり、ループしてしまいますね。。。＞いきなり本番に実装するつもりであれば、検証環境できちんと再度試行錯誤することにいたしました。今回のベストアンサーにさせていただきます。ありがとうございました。

行動規範の内容に同意します