Apache httpd 2.4.48(TLS1.3対応)+ HTTP/2 + Brotli インストールメモ

Linux
Linux
スポンサーリンク

 

(2021年9月19日追記)このバージョンの Apache httpd にはセキュリティ脆弱性及び不具合が見つかっています。これらのセキュリティ脆弱性などが修正されている「Apache httpd 2.4.49(TLS1.3対応)+ HTTP/2 + Brotli インストールメモ」をご参照ください。

2021年6月1日 Apache httpd 2.4.48 が安定版としてリリースされました。約10ヶ月ぶりのバージョンアップです。(2.4.47 はリリースされませんでした)Apache httpd 2.4.48 では、CVE-2021-31618 など8つの脆弱性 への対応のほか、サーバーAPIへのSSL関連の問い合わせ機能の追加、各種モジュールの不具合対応がされています。そこで今回は CentOS7 および CentOS8 に Apache httpd 2.4.48 をインストールする手順をまとめてみました。

参考記事:Changes with Apache 2.4.48

開発ツールのインストール

Apache httpd や各種ライブラリをソースからコンパイルしますので、CentOS を「最小限のインストール」でインストールしている場合は、基本コマンドと開発ツールをインストールしておきましょう。

yum -y groupinstall base
yum -y groupinstall development

yum アップデート

インストール済みのパッケージを、最新版にアップデートします。

yum -y update

OSを再起動します。

shutdown -r now

OpenSSL 1.1.1 のインストール(CentOS7のみ)

CentOS7 の場合は、OpenSSL 1.1.1 をインストールします。(CentOS8 は、標準で OpenSSL 1.1.1 がインストールされており、ソースから OpenSSL をインストールすると不具合が発生しますので、インストールしないように注意してください)

OpenSSL のコンパイルに必要なパッケージをインストールしておきます。

yum -y install zlib-devel
yum -y install perl-core

OpenSSL 1.1.1 のダウンロード(ダウンロードの前に OpenSSL 1.1.1 の最新リリース を確認しておきましょう)

cd /usr/local/src/
wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz

OpenSSL 1.1.1 のインストール

tar xvzf openssl-1.1.1k.tar.gz
cd openssl-1.1.1k/
./config --prefix=/usr/local/openssl-1.1.1k shared zlib
make depend
make
make test
make install

OpenSSL1.1.1 のライブラリにパスを通しておきます。

echo /usr/local/openssl-1.1.1k/lib > /etc/ld.so.conf.d/openssl.conf
ldconfig

Nghttp2 のインストール

HTTP/2(mod_http2)のコアエンジン Nghttp2 をインストールします。

Nghttp2 のコンパイルに必要なパッケージをインストールしておきます。

yum -y install jansson-devel
yum -y install libev-devel
yum -y install c-ares-devel

CentOS7 の場合

CentOS7 の場合は、Software Collections(SCL)リポジトリから devtoolset-7 パッケージと Python 3.8 をインストールして有効化しておきます。

yum -y install centos-release-scl
yum -y install devtoolset-7
yum -y install rh-python38-python-devel
scl enable devtoolset-7 bash
scl enable rh-python38 bash

Nghttp2 のダウンロード(ダウンロードの前に Nghttp2の最新リリース を確認しておきましょう)

cd /usr/local/src/
wget https://github.com/nghttp2/nghttp2/releases/download/v1.43.0/nghttp2-1.43.0.tar.gz

Nghttp2 のインストール。環境変数 OPENSSL_CFLAGS と OPENSSL_LIBS に先ほどインストールした、OpenSSL1.1.1 のディレクトリパスを指定してコンパイルします。

tar xvzf nghttp2-1.43.0.tar.gz
cd nghttp2-1.43.0/
 
env OPENSSL_CFLAGS="-I/usr/local/openssl-1.1.1k/include" \
OPENSSL_LIBS="-L/usr/local/openssl-1.1.1k/lib -lssl -lcrypto" \
./configure --enable-app
 
make
make install

CentOS8 の場合

CentOS8 の場合は、Nghttp2 のコンパイルに必要な OpenSSL のライブラリと Python 3.8 をインストールします。

yum -y install openssl-devel
yum -y install python38-devel

Nghttp2 のダウンロード(ダウンロードの前に Nghttp2の最新リリース を確認しておきましょう)

cd /usr/local/src/
wget https://github.com/nghttp2/nghttp2/releases/download/v1.43.0/nghttp2-1.43.0.tar.gz

Nghttp2 のインストール。

tar xvzf nghttp2-1.43.0.tar.gz
cd nghttp2-1.43.0/
./configure --enable-app
make
make install

以上で HTTP/2 のライブラリ「libnghttp2」が /usr/local/lib/ 以下にインストールされます。Nghttp2 関連のコマンドは /usr/local/bin/ 以下にインストールされます。

Brotli のインストール

Brotli のコンパイルに cmake を使いますので、インストールしておきます。

yum -y install cmake

Brotli のダウンロード(ダウンロードの前に Brotliの最新リリース を確認しておきましょう)

cd /usr/local/src/
wget https://github.com/google/brotli/archive/refs/tags/v1.0.9.tar.gz

Brotli をコンパイルしてインストールします。

tar xvzf v1.0.9.tar.gz
cd brotli-1.0.9/
mkdir out && cd out
../configure-cmake
make
make test
make install

Brotli のライブラリが /usr/local/lib 以下にインストールされます。

ライブラリへのパス追加

HTTP/2 と Brotliのライブラリが「/usr/local/lib」以下にインストールされましたので、ライブラリのパスに追加しておきます。

echo /usr/local/lib > /etc/ld.so.conf.d/usr-local-lib.conf
ldconfig

Apache httpd インストールの下準備

Apache httpd のコンパイルに必要なパッケージをインストールしておきます。

yum -y install pcre-devel
yum -y install expat-devel

また、Apache 2.4系をソースコードからインストールする場合は、APR と APR-util が必要になりますので、インストールしておきます。

APR

cd /usr/local/src/
wget http://ftp.jaist.ac.jp/pub/apache//apr/apr-1.7.0.tar.gz
tar xvzf apr-1.7.0.tar.gz
cd apr-1.7.0/
./configure
make
make install

APR-util

cd /usr/local/src/
wget http://ftp.jaist.ac.jp/pub/apache//apr/apr-util-1.6.1.tar.gz
tar xvzf apr-util-1.6.1.tar.gz
cd apr-util-1.6.1/
./configure --with-apr=/usr/local/apr
make
make install

Apache httpd 2.4.48 のインストール

本題の Apache httpd のインストールです。

Apache httpd のソースコードのダウンロード

cd /usr/local/src/
wget https://ftp.jaist.ac.jp/pub/apache//httpd/httpd-2.4.48.tar.gz

ダウンロードしたソースコードを解凍して、ディレクトリを移動します。

tar xvzf httpd-2.4.48.tar.gz
cd httpd-2.4.48/

CentOS7 の場合

Apache httpd をインストールします。CentOS7 の場合は「--with-ssl」オプションで OpenSSL 1.1.1 のインストールディレクトリを指定します。

./configure \
--enable-http2 \
--enable-brotli \
--with-brotli=/usr/local/lib \
--enable-ssl \
--with-ssl=/usr/local/openssl-1.1.1k \
--with-apr=/usr/local/apr \
--with-apr-util=/usr/local/apr \
--enable-so \
--enable-mods-shared=all \
--enable-mpms-shared=all
 
make
make install

CentOS8 の場合

Apache httpd をインストールします。CentOS8 の場合は「--with-ssl」オプションの指定は必要ありません。

./configure \
--enable-http2 \
--enable-brotli \
--with-brotli=/usr/local/lib \
--enable-ssl \
--with-apr=/usr/local/apr \
--with-apr-util=/usr/local/apr \
--enable-so \
--enable-mods-shared=all \
--enable-mpms-shared=all
 
make
make install

以上で Apache が /usr/local/apache2/ 以下にインストールされました。続いてSSLサーバー証明書の作成と、Apacheの設定を行います。

自己署名のSSLサーバー証明書の作成

正規の認証局が発行したサーバー証明書を、無料で取得することもできます。よければご参照ください → Let's Encrypt サーバー証明書の取得と自動更新設定メモ

HTTP/2 および Brotli は HTTPS が必須になりますので Apache の設定の前に、SSLサーバー証明書を作成しておきます。

秘密鍵の作成

openssl ecparam -name prime256v1 -genkey -out server.key

CSR(証明書署名要求)の作成(入力するのは Country Name と Common Name の2箇所だけです)

openssl req -new -key server.key > server.csr
 
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:<空エンター>
Locality Name (eg, city) [Default City]:<空エンター>
Organization Name (eg, company) [Default Company Ltd]:<空エンター>
Organizational Unit Name (eg, section) []:<空エンター>
Common Name (eg, your name or your server's hostname) []:www.example.com
Email Address []:<空エンター>
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:<空エンター>
An optional company name []:<空エンター>

SSLサーバー証明書の作成(有効期限30年)

openssl x509 -days 10950 -req -signkey server.key < server.csr > server.crt

秘密鍵とSSL証明書を移動

mv -i server.key /etc/pki/tls/private/
mv -i server.crt /etc/pki/tls/certs/

パーミッションを変更

chmod 600 /etc/pki/tls/private/server.key
chmod 600 /etc/pki/tls/certs/server.crt

SELinux を有効にしている場合は、秘密鍵とSSL証明書に正しいセキュリティコンテキストをつけておきましょう。(Apache httpd 起動時にエラーが発生することがあります)

restorecon /etc/pki/tls/private/server.key
restorecon /etc/pki/tls/certs/server.crt

CSRを削除

rm server.csr

Apache httpd の設定

オリジナルの設定ファイルをバックアップ

mv -i /usr/local/apache2/conf/httpd.conf /usr/local/apache2/conf/httpd.conf.org
mv -i /usr/local/apache2/conf/extra/httpd-ssl.conf /usr/local/apache2/conf/extra/httpd-ssl.conf.org

・設定ファイルを作成します
vim /usr/local/apache2/conf/httpd.conf

vim /usr/local/apache2/conf/extra/httpd-ssl.conf

systemd サービスファイルの作成

Apache httpd 用の systemd サービスファイル(起動スクリプトのようなもの)を作成します。

vim /etc/systemd/system/httpd.service

[Unit]
Description=The Apache HTTP Server
After=network.target remote-fs.target nss-lookup.target
 
[Service]
Type=forking
ExecStart=/usr/local/apache2/bin/apachectl start
ExecReload=/usr/local/apache2/bin/apachectl graceful
ExecStop=/usr/local/apache2/bin/apachectl stop
 
[Install]
WantedBy=multi-user.target

作成したサービスファイルを systemd に反映

systemctl daemon-reload

systemd に反映されているか確認

systemctl list-unit-files | grep httpd
httpd.service disabled ←この表示があればOK

起動

systemctl start httpd

自動起動設定

systemctl enable httpd

firewalld設定

HTTP(80/tcp) と HTTPS(443/tcp) を開けておきます。

firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --add-port=443/tcp --permanent
firewall-cmd --reload

・確認
firewall-cmd --list-all

public (default, active)
interfaces: enp0s3 enp0s8
sources:
services: dhcpv6-client ssh
ports: 443/tcp 80/tcp ←この表示があればOK
(略)

ログのローテーション設定

・設定ファイルを作成します
vim /etc/logrotate.d/httpd

/usr/local/apache2/logs/*log { 
    daily 
    missingok 
    dateext 
    rotate 60 
    create 644 daemon daemon
    sharedscripts 
    postrotate 
        /bin/systemctl reload httpd.service > /dev/null 2>/dev/null || true
    endscript 
}

・確認します
logrotate -dv /etc/logrotate.d/httpd
-----(下記のような表示であればOKです)-----

reading config file /etc/logrotate.d/httpd
 
Handling 1 logs
 
rotating pattern: /usr/local/apache2/logs/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
(略)

以上です。設定お疲れ様でした!

コメント

タイトルとURLをコピーしました