クライアント証明書が入ったWebサイトにhttp接続した際
「サイトからの応答時間が長すぎます。」と表示されます
今はhttp接続した時に強制的にhttpsに接続させる設定はしていません
この「サイトからの応答時間が長すぎます。」のメッセージを出さないようにするためには
ErrorDocumentでエラーページ見せるようにしようかと思っているのですが
ssl_errorログにhttpステータスが表示されませんので、ErrorDocumentの設定ではうまく機能しないのではと
考えています
ssl_errorログには下記のようなログが出ています
Re-negotiation handshake failed: Not accepted by client
そもそも、「サイトからの応答時間が長すぎます。」の制御をapache側設定でどうにかなるのでしょうか?
クライアント証明書設定はssl.confに記述しています
■/etc/httpd/conf.d/ssl.conf
SSLInsecureRenegotiation off <Location /> SetEnv force-proxy-request-1.0 1 SetEnv proxy-nokeepalive 1 SSLRequireSSL SSLVerifyClient optional #SSLVerifyClient none SSLRequire %{SSL_CLIENT_S_DN_O} eq "*****." or%{REMOTE_ADDR}=~****** or%{REMOTE_ADDR}=~*****/ or%{REMOTE_ADDR}=~*****/ </Location> <Directory ""> # Options Indexes FollowSymLinks # AllowOverride All #add Order deny,allow Allow from all </Directory> ###サーバの公開鍵 SSLCACertificateFile /usr/local/ssl/CA/CA.key ###失効ファイル SSLCARevocationFile /etc/pki/exampleCA/crl.pem
iptablesでは、下記のように活かしています
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
netstatでも80はListenしています
[root@**** ~]# netstat -atlnp|grep ":80"
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 5477/httpd
httpd -Sコマンドを実行すると下記のように443のみのvhost設定しかしていません
VirtualHost configuration:
wildcard NameVirtualHosts and default servers:
default:443 ..***.jp (/etc/httpd/conf.d/ssl.conf:81)
Syntax OK
- サーバ内でcurlコマンドを実行しました
[root@*** conf.d]# curl -vvv http://localhost
- About to connect() to localhost port 80 (#0)
- Trying 127.0.0.1... connected
- Connected to localhost (127.0.0.1) port 80 (#0)
GET / HTTP/1.1
User-Agent:
Host: localhost
Accept: /< HTTP/1.1 302 Found
<
< Server: Apache
< X-Frame-Options: DENY
- iptablesの内容
iptables -nvL
Chain INPUT (policy ACCEPT 551K packets, 43M bytes)
pkts bytes target prot opt in out source destination
153M 57G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
242K 23M ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
583K 37M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
351 21052 ACCEPT tcp -- * * 192.168.. 0.0.0.0/0 state NEW tcp dpt:22
242K 15M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
7971K 465M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT 144M packets, 96G bytes)
pkts bytes target prot opt in out source destination
書く順としては、*filter内容を記述してから、sourceIPでのポリシーを記載し、
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i lo -j ACCEPT
最後に下記を記載しています
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
ご教示のほどよろしくお願い致します
