Apache2.4.39 + OpenSSL1.1.1bをソースからインストール

CentOS7にApache2.4.39+OpenSSL1.1.1b+PHP7.3.4をソースからインストール

Apache2.4.39がリリースされていたのでインストールしてみました。2.4.37,2.4.38ではmod_sslにTLS1.3における認証不具合があるようで、これが修正されています。そろそろTLS1.3がこなれてきたので、ようやく標準的に使用できるようになってきそうです。基本的には先日のApache2.4.38と同じですが、OpenSSL1.1.1b、PHP7.3.4とそれぞれバージョンが上がっていましたので合わせて対応してみます。念の為httpd、httpd3は残したまま、「httpd4」という新しいサービスを立ち上げることにします。httpd2(Apache2.4.37)は削除しました。

※いつもここのブログを参考にさせていただいています、ありがとうございます!

 

作業中でもアクセスできるように、代替のhttpdを立ち上げておきます。

$ sudo -i
# systemctl stop httpd3
# systemctl start httpd

1. OpenSSL 1.1.1b を /usr/local/ssl にインストール

# yum -y groupinstall base
# yum -y groupinstall development
# yum -y update
# yum -y install zlib-devel
# yum -y install perl-core
# cd /usr/local/src/
# wget https://www.openssl.org/source/openssl-1.1.1b.tar.gz
# tar xvfz openssl-1.1.1b.tar.gz
# cd openssl-1.1.1b
# ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
# make depend
# make
# make test
# make install
# ln -s /usr/local/ssl/lib/libcrypto.so.1.1.1b /lib64/libcrypto.so.1.1.1b
# ln -s /usr/local/ssl/lib/libssl.so.1.1.1b /lib64/libssl.so.1.1.1b
# /usr/local/ssl/bin/openssl version
# echo /usr/local/ssl/lib > /etc/ld.so.conf.d/openssl111b.conf
# ldconfig
# /usr/local/ssl/bin/openssl ciphers -v TLSv1.3

2. Ngttp2とBrotliを /usr/local/lib にインストール

2.1. Ngttp2 1.37.0(libnghttp2)

OpenSSL 1.1.1bは /usr/local/ssl 配下にインストールしてあるので、envで指定します。

# yum -y install jansson-devel
# yum -y install libev-devel
# yum -y install c-ares-devel
# yum -y install centos-release-scl
# yum -y install devtoolset-7
# scl enable devtoolset-7 bash
# cd /usr/local/src/
# wget https://github.com/nghttp2/nghttp2/releases/download/v1.37.0/nghttp2-1.37.0.tar.gz
# tar xvzf nghttp2-1.37.0.tar.gz
# cd nghttp2-1.37.0/
# env OPENSSL_CFLAGS="-I/usr/local/ssl/include" OPENSSL_LIBS="-L/usr/local/ssl/lib -lssl -lcrypto" ./configure -enable-app
# make
# make install
2.2. Brotli 1.0.7
# yum -y install cmake
# cd /usr/local/src/
# wget https://github.com/google/brotli/archive/v1.0.7.tar.gz
# tar xvzf v1.0.7.tar.gz
# cd brotli-1.0.7/
# mkdir out && cd out
# ../configure-cmake
# make
# make test
# make install
# echo /usr/local/lib > /etc/ld.so.conf.d/usr-local-lib.conf
# ldconfig

3. Apache 2.4.39 を /usr/local/httpd4 にインストール

3.1. APR 1.7.0
# cd /usr/local/src/
# wget http://ftp.jaist.ac.jp/pub/apache//apr/apr-1.7.0.tar.gz
# tar xvzf apr-1.7.0.tar.gz
# cd apr-1.7.0/
# ./configure
# make
# make install
3.2. APR-util 1.6.1
# cd /usr/local/src/
# wget http://ftp.jaist.ac.jp/pub/apache//apr/apr-util-1.6.1.tar.gz
# tar xvzf apr-util-1.6.1.tar.gz
# cd apr-util-1.6.1/
# ./configure --with-apr=/usr/local/apr
# make
# make install
3.3. Apache 2.4.39

—prefix=/usr/local/httpd4 とすることで「httpd4」のフォルダにインストールします。

# cd /usr/local/src/
# wget http://ftp.jaist.ac.jp/pub/apache//httpd/httpd-2.4.39.tar.gz
# tar xvzf httpd-2.4.39.tar.gz
# cd httpd-2.4.39/
# ./configure \
--prefix=/usr/local/httpd4 \
--enable-http2 \
--enable-brotli \
--with-brotli=/usr/local/lib \
--enable-ssl \
--with-ssl=/usr/local/ssl \
--with-apr=/usr/local/apr \
--with-apr-util=/usr/local/apr \
--enable-so \
--enable-mods-shared=all \
--enable-mpms-shared=all
# make
# make install

インストールされたらApacheの設定。httpd.confの該当箇所を有効化、追記・修正します。

# cd /usr/local/httpd4/conf
# vi httpd.conf
-----------------------------------------
# for Brotli
LoadModule brotli_module modules/mod_brotli.so
LoadModule mpm_event_module modules/mod_mpm_event.so
#LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
#LoadModule mpm_worker_module modules/mod_mpm_worker.so
# for HTTPS
LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
# for HTTP/2
LoadModule http2_module modules/mod_http2.so
# for VirtualHost
LoadModule vhost_alias_module modules/mod_vhost_alias.so
# for Rewrite
LoadModule rewrite_module modules/mod_rewrite.so
# for php-fpm
LoadModule proxy_fcgi_module modules/mod_proxy_fcgi.so
LoadModule proxy_module modules/mod_proxy.so
# for gZip
LoadModule deflate_module modules/mod_deflate.so
# for cash expire
LoadModule expires_module modules/mod_expires.so
.
.
User apache
Group apache
.
.
# for cash expire
<IfModule mod_expires.c>
    <filesMatch ".(jpg|jpeg|png|gif|swf|js|css)$">
        ExpiresActive On
        ExpiresDefault "access plus 30 days"
    </filesMatch>
</IfModule>
.
.
<IfModule dir_module>
    # index.php追加(WordPressに必要)
    #DirectoryIndex index.html
    DirectoryIndex index.html index.php
</IfModule>
.
.
# php追加
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
.
.
Include conf/extra/httpd-mpm.conf
.
.
# Virtual hosts(http用、https用は分けて設定します)
#Include conf/extra/httpd-vhosts.conf
Include conf/extra/httpd-vhosts-http.conf
Include conf/extra/httpd-vhosts-https.conf
.
.
Include conf/extra/httpd-ssl.conf
-----------------------------------------
:wq

mpm_eventの設定

# cd extra
# vi httpd-mpm.conf 
-----------------------------------------
.
.
<IfModule mpm_event_module>
    StartServers            2
    MinSpareThreads         2
    MaxSpareThreads         4
    ThreadsPerChild         2
    MaxRequestWorkers       4
    MaxConnectionsPerChild 150
</IfModule>
.
.
-----------------------------------------
:wq

HTTPSの設定。httpd-ssl.confを以下のように追記・修正します。せっかくなのでより安全なTLS 1.2、TLS 1.3だけに対応します。

# vi httpd-ssl.conf
-----------------------------------------
.
.
# 常時SSL
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
.
.
# 明示的にSSL圧縮をOFF
SSLCompression off
.
.
SSLCipherSuite "TLS_AES_256_GCM_SHA384 \
TLS_CHACHA20_POLY1305_SHA256 \
ECDHE-RSA-AES128-GCM-SHA256 \
ECDHE-RSA-AES256-GCM-SHA384 \
ECDHE-RSA-AES256-SHA \
ECDHE-RSA-AES256-SHA384 \
DHE-RSA-AES256-GCM-SHA384 \
DHE-RSA-AES256-SHA \
DHE-RSA-AES256-SHA256"

SSLProxyCipherSuite "TLS_AES_256_GCM_SHA384 \
TLS_CHACHA20_POLY1305_SHA256 \
ECDHE-RSA-AES128-GCM-SHA256 \
ECDHE-RSA-AES256-GCM-SHA384 \
ECDHE-RSA-AES256-SHA \
ECDHE-RSA-AES256-SHA384 \
DHE-RSA-AES256-GCM-SHA384 \
DHE-RSA-AES256-SHA \
DHE-RSA-AES256-SHA256"
.
.
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1
.
.
# for OCSP
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
.
.
#ServerName www.example.com:443
#ServerAdmin you@example.com
.
.
SSLEngine on
    #Include /etc/letsencrypt/options-ssl-apache.conf
    SSLCertificateFile /etc/letsencrypt/live/ji0vwl.net/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/ji0vwl.net/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/ji0vwl.net/chain.pem
.
.
#SSLCertificateFile "/usr/local/httpd4/conf/server.crt"
.
.
#SSLCertificateKeyFile "/usr/local/httpd4/conf/server.key"
-----------------------------------------
:wq

HTTPバーチャルホストの設定

# vi httpd-vhosts-http.conf
-----------------------------------------
<VirtualHost *:80>
    DocumentRoot /var/www/html
    ServerName test.ji0vwl.net

    <Directory "/var/www/html/">
        Options FollowSymlinks Includes
        AllowOverride All
        AddType text/html .html
        Require all granted
    </Directory>
    
    # HTTPSにリライトする場合はコメントアウト解除
    #RewriteEngine on
    #RewriteCond %{SERVER_NAME} =test.ji0vwl.net
    #RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
-----------------------------------------
:wq

HTTPSバーチャルホストの設定

# vi httpd-vhosts-https.conf
-----------------------------------------
<IfModule mod_ssl.c>
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName test.ji0vwl.net
    
    # HTTP/2有効化(h2追加)
    Protocols h2 http/1.1

    <Directory "/var/www/html/">
        Options FollowSymlinks Includes
        AllowOverride All
        AddType text/html .html
        Require all granted
    </Directory>

    # SSL証明書
    SSLCertificateFile /etc/letsencrypt/live/ji0vwl.net/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/ji0vwl.net/privkey.pem
    #SSLCertificateFile /etc/letsencrypt/live/ji0vwl.net/cert.pem
    #SSLCertificateChainFile /etc/letsencrypt/live/ji0vwl.net/chain.pem

    # for gZip圧縮
   <IfModule mod_deflate.c>
       DeflateCompressionLevel 1
       <IfModule mod_filter.c>
        FilterDeclare COMPRESS
        FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} =~ m#^text/#i"
        FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} =~ m#^application/(atom\+xml|javascript|json|rss\+xml|xml|xhtml\+xml)#i"
        FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} =~ m#^image/(svg\+xml|vnd\.microsoft\.icon)#i"
        FilterChain COMPRESS
        FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no
       </IfModule>
   </Ifmodule>

   # for Brotli圧縮
   <IfModule mod_brotli.c>
       SetOutputFilter BROTLI_COMPRESS
       SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-brotli

       BrotliCompressionQuality 5
       BrotliCompressionWindow 18

       BrotliFilterNote Input instream
       BrotliFilterNote Output outstream
       BrotliFilterNote Ratio ratio
       LogFormat '"%r" %{outstream}n/%{instream}n (%{ratio}n%%)' brotli
       CustomLog "logs/brotli_log" brotli
   </IfModule>

   # for dosdetector
   DoSDetection on
   DoSPeriod 60
   DoSThreshold 250
   DoSBanPeriod 60
   DoSTableSize 100
   RewriteEngine On
   RewriteCond %{ENV:SuspectDoS} =1
   RewriteRule .* - [R=503,L]
   ErrorDocument 503 "<h1>Sorry, ji0vwl.net is busy.. Please access later.</h1>"
</VirtualHost>
</IfModule>
-----------------------------------------
:wq

4. Apache 2.4.39 を httpd4.service に登録

「systemctl start httpd4」で起動できるように、httpd4 という名前のサービスとして登録します。reload=graceful動作です。

 # vi /etc/systemd/system/httpd4.service
-----------------------------------------
[Unit]
Description=The Apache HTTP Server
After=network.target remote-fs.target nss-lookup.target
 
[Service]
Type=forking
ExecStart=/usr/local/httpd4/bin/apachectl start
ExecReload=/usr/local/httpd4/bin/apachectl graceful
ExecStop=/usr/local/httpd4/bin/apachectl stop
 
[Install]
WantedBy=multi-user.target
-----------------------------------------
:wq
# systemctl daemon-reload
# systemctl list-unit-files | grep httpd4

5. PHP 7.3.4 を /usr/local/php7.3.4 にインストールする

–with-apxs2=[dir]でPHPとApacheを、–with-openssl=[dir]でPHPとOpenSSLを、–with-mysql-sock=[dir]でPHPとmySQLを結びつけます。

# cd /usr/local/src
# yum -y install libxml2-devel systemd-devel libpng-devel
# wget http://jp2.php.net/get/php-7.3.4.tar.gz/from/this/mirror -O /usr/local/src/php-7.3.4.tar.gz
# tar -xvzf php-7.3.4.tar.gz
# cd php-7.3.4
# ./configure \
--prefix=/usr/local/php7.3.4 \
--with-apxs2=/usr/local/httpd4/bin/apxs \
--with-openssl=/usr/local/ssl \
--with-mysql-sock=/var/lib/mysql/mysql.sock \
--with-mysqli \
--with-pdo-mysql \
--enable-mbstring \
--with-gd \
--with-zlib \
--with-fpm-systemd \
--with-fpm-user=apache \
--with-fpm-group=apache \
--enable-fpm \
--enable-ftp
# make
# make install
# libtool --finish /usr/local/src/php-7.3.4/libs

6.  Passenger 6.0.2 をインストール

Redmineを動かさない場合は飛ばしていただいて問題ありません。

# gem install passenger
# chmod o+x "/root"
# passenger-install-apache2-module --apxs2-path "/usr/local/httpd4/bin/apxs"      # めちゃくちゃ時間がかかります
1
[Enter]
●Ruby
●Python
[Enter]
y
[Enter]
.
.
.
★30分以上。気長に待ちましょう★
.
.
[Enter]
[Enter]

 

 

7. 代替起動していたhttpdを停止、httpd3(Apache 2.4.38)を無効にしてから、今入れたhttpd4を起動

# systemctl stop httpd
# systemctl disable httpd3
# systemctl start httpd4
# systemctl enable httpd4

 

8. cronを更新して完成!

最後に、定時再起動やLet’s EncryptのSSL証明書更新後のreloadをhttpd4に変更するのを忘れずに!

# vi /etc/cron.d/dailyjobs
-------------------------------
.
.
# run-parts
30 * * * * root /bin/systemctl reload httpd4
00 2 1 * * root /bin/certbot renew --force-renew --rsa-key-size 4096 --post-hook "systemctl reload httpd4"
00 3 * * * root free -m && /bin/systemctl restart httpd4 && swapoff -a && swapon -a && free -m
02 4 * * * root [ ! -f /etc/cron.hourly/0anacron ] && run-parts /etc/cron.daily
22 4 * * 0 root [ ! -f /etc/cron.hourly/0anacron ] && run-parts /etc/cron.weekly
42 4 1 * * root [ ! -f /etc/cron.hourly/0anacron ] && run-parts /etc/cron.monthly
.
.
-------------------------------
:wq
# systemctl restart crond

 

httpd4を起動してSSL LabsでHTTPSの検証を行い、無事Apache 2.4.39/OpenSSL 1.1.1b/PHP 7.3.4/(Passenger 6.0.2)の環境にて、TLS 1.3の対応が確認できました!

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)