CentOS7にApache2.4.41+OpenSSL1.1.1c+PHP7.3.8をソースからインストール

Apache2.4.41がリリースされていたのでインストールしてみました。Apacheのバージョンアップ自体が趣味になりつつあります笑。

記事には投稿せずに、すでにOpenSSL1.1.1cとPHP7.3.8は現時点の最新版に追従していましたが、まとめて記載しておきます。Ngttp2は今回1.37.0→1.39.1にバージョンアップします。

また、いつものように作業中でもアクセスできるように、代替のhttpdを立ち上げておきます。

$ sudo -i
# systemctl stop httpd4
# systemctl start httpd

1. OpenSSL 1.1.1c を /usr/local/ssl にインストール

# yum -y groupinstall base
# yum -y groupinstall development
# yum -y update
# yum -y install zlib-devel
# yum -y install perl-core
# cd /usr/local/src/
# wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz
# tar xvfz openssl-1.1.1c.tar.gz
# cd openssl-1.1.1c
# ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
# make depend
# make
# make test
# make install
# ln -s /usr/local/ssl/lib/libcrypto.so.1.1 /lib64/libcrypto.so.1.1   (初めてのとき)
# ln -s /usr/local/ssl/lib/libssl.so.1.1 /lib64/libssl.so.1.1    (初めてのとき)
# echo /usr/local/ssl/lib > /etc/ld.so.conf.d/openssl111c.conf
# ldconfig
# /usr/local/ssl/bin/openssl version

2. Ngttp2とBrotliを /usr/local/lib にインストール

2.1. Ngttp2 1.39.1（libnghttp2）

OpenSSL 1.1.1cは /usr/local/ssl 配下にインストールしてあるので、envで指定します。

# yum -y install jansson-devel
# yum -y install libev-devel
# yum -y install c-ares-devel
# yum -y install centos-release-scl
# yum -y install devtoolset-7
# scl enable devtoolset-7 bash
# cd /usr/local/src/
# wget https://github.com/nghttp2/nghttp2/releases/download/v1.39.1/nghttp2-1.39.1.tar.gz
# tar xvzf nghttp2-1.39.1.tar.gz
# cd nghttp2-1.39.1/
# env OPENSSL_CFLAGS="-I/usr/local/ssl/include" OPENSSL_LIBS="-L/usr/local/ssl/lib -lssl -lcrypto" ./configure -enable-app
# make
# make install

2.2. Brotli 1.0.7

# yum -y install cmake
# cd /usr/local/src/
# wget https://github.com/google/brotli/archive/v1.0.7.tar.gz
# tar xvzf v1.0.7.tar.gz
# cd brotli-1.0.7/
# mkdir out && cd out
# ../configure-cmake
# make
# make test
# make install
# echo /usr/local/lib > /etc/ld.so.conf.d/usr-local-lib.conf
# ldconfig

3. Apache 2.4.41 を /usr/local/httpd4 にインストール

3.1. APR 1.7.0

# cd /usr/local/src/
# wget http://ftp.jaist.ac.jp/pub/apache//apr/apr-1.7.0.tar.gz
# tar xvzf apr-1.7.0.tar.gz
# cd apr-1.7.0/
# ./configure
# make
# make install

3.2. APR-util 1.6.1

# cd /usr/local/src/
# wget http://ftp.jaist.ac.jp/pub/apache//apr/apr-util-1.6.1.tar.gz
# tar xvzf apr-util-1.6.1.tar.gz
# cd apr-util-1.6.1/
# ./configure --with-apr=/usr/local/apr
# make
# make install

3.3. Apache 2.4.41

—prefix=/usr/local/httpd4 とすることで「httpd4」のフォルダにインストールします。2.4.39がhttpd4でしたが、慣れてきたので今回は上書きしてしまいます。

# cd /usr/local/src/
# wget http://ftp.jaist.ac.jp/pub/apache//httpd/httpd-2.4.41.tar.gz
# tar xvzf httpd-2.4.41.tar.gz
# cd httpd-2.4.41/
# ./configure \
--prefix=/usr/local/httpd4 \
--enable-http2 \
--enable-brotli \
--with-brotli=/usr/local/lib \
--enable-ssl \
--with-ssl=/usr/local/ssl \
--with-apr=/usr/local/apr \
--with-apr-util=/usr/local/apr \
--enable-so \
--enable-mods-shared=all \
--enable-mpms-shared=all
# make
# make install

インストールされたらApacheの設定。httpd.confの該当箇所を有効化、追記・修正します。

# cd /usr/local/httpd4/conf
# vi httpd.conf
-----------------------------------------
# for Brotli
LoadModule brotli_module modules/mod_brotli.so
LoadModule mpm_event_module modules/mod_mpm_event.so
#LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
#LoadModule mpm_worker_module modules/mod_mpm_worker.so
# for HTTPS
LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
# for HTTP/2
LoadModule http2_module modules/mod_http2.so
# for VirtualHost
LoadModule vhost_alias_module modules/mod_vhost_alias.so
# for Rewrite
LoadModule rewrite_module modules/mod_rewrite.so
# for php-fpm
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_fcgi_module modules/mod_proxy_fcgi.so
# for gZip
LoadModule deflate_module modules/mod_deflate.so
# for cash expire
LoadModule expires_module modules/mod_expires.so
.
.
User apache
Group apache
.
.
# for cash expire
<IfModule mod_expires.c>
    <filesMatch ".(jpg|jpeg|png|gif|swf|js|css)$">
        ExpiresActive On
        ExpiresDefault "access plus 30 days"
    </filesMatch>
</IfModule>
.
.
<IfModule dir_module>
    # index.php追加（WordPressに必要）
    #DirectoryIndex index.html
    DirectoryIndex index.html index.php
</IfModule>
.
.
# php追加
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
.
.
Include conf/extra/httpd-mpm.conf
.
.
# Virtual hosts（http用、https用は分けて設定します）
#Include conf/extra/httpd-vhosts.conf
Include conf/extra/httpd-vhosts-http.conf
Include conf/extra/httpd-vhosts-https.conf
.
.
Include conf/extra/httpd-ssl.conf
-----------------------------------------
:wq

mpm_eventの設定

# cd extra
# vi httpd-mpm.conf 
-----------------------------------------
.
.
<IfModule mpm_event_module>
    StartServers            2
    MinSpareThreads         4
    MaxSpareThreads         4
    ThreadsPerChild         8
    MaxRequestWorkers       8
    MaxConnectionsPerChild 100
</IfModule>
.
.
-----------------------------------------
:wq

HTTPSの設定。httpd-ssl.confを以下のように追記・修正します。最近SSL Labsの判定が厳しいので、TLS 1.2、TLS 1.3の緑色になる（Weak扱いされない）暗号スイートだけ残します。これによって当Blogサイト閲覧端末としてiOS 8以下とMacOS 10.10 (Yosemite)以下、そしてWindows Phone 8.1以下が切り捨てられますが目をつむることにします。ちなみにTLS 1.1以下を不許可にしているのでAndroid4.3以下は当初から非対応です。

# vi httpd-ssl.conf
-----------------------------------------
.
.
# 常時SSL
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
.
.
# 明示的にSSL圧縮をOFF
SSLCompression off
.
.
SSLCipherSuite "TLS_AES_256_GCM_SHA384 \
TLS_CHACHA20_POLY1305_SHA256 \
ECDHE-RSA-AES128-GCM-SHA256 \
ECDHE-RSA-AES256-GCM-SHA384 \
DHE-RSA-AES128-GCM-SHA256 \
DHE-RSA-AES256-GCM-SHA384

SSLProxyCipherSuite "TLS_AES_256_GCM_SHA384 \
TLS_CHACHA20_POLY1305_SHA256 \
ECDHE-RSA-AES128-GCM-SHA256 \
ECDHE-RSA-AES256-GCM-SHA384 \
DHE-RSA-AES128-GCM-SHA256 \
DHE-RSA-AES256-GCM-SHA384 
.
.
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1
.
.
# for OCSP
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
.
.
#ServerName www.example.com:443
#ServerAdmin you@example.com
.
.
SSLEngine on
    #Include /etc/letsencrypt/options-ssl-apache.conf
    SSLCertificateFile /etc/letsencrypt/live/ji0vwl.net/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/ji0vwl.net/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/ji0vwl.net/chain.pem
.
.
#SSLCertificateFile "/usr/local/httpd4/conf/server.crt"
.
.
#SSLCertificateKeyFile "/usr/local/httpd4/conf/server.key"
-----------------------------------------
:wq

HTTPバーチャルホストの設定

# vi httpd-vhosts-http.conf
-----------------------------------------
<VirtualHost *:80>
    DocumentRoot /var/www/html
    ServerName test.ji0vwl.net

    <Directory "/var/www/html/">
        Options FollowSymlinks Includes
        AllowOverride All
        AddType text/html .html
        Require all granted
    </Directory>
    
    # HTTPSにリライトする場合はコメントアウト解除
    #RewriteEngine on
    #RewriteCond %{SERVER_NAME} =test.ji0vwl.net
    #RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
-----------------------------------------
:wq

HTTPSバーチャルホストの設定

Require not ip は、必要に応じて制限したいIPアドレス範囲を指定してください。

# vi httpd-vhosts-https.conf
-----------------------------------------
<IfModule mod_ssl.c>
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName test.ji0vwl.net
    
    # HTTP/2有効化（h2追加）
    Protocols h2 http/1.1

    <Directory "/var/www/html/">
        Options FollowSymlinks Includes
        AllowOverride All
        AddType text/html .html
        <RequireAll>
          Require not ip xxx.xxx yyy.yyy zzz.zzz.zzz
          Require all granted
        </RequireAll>
    </Directory>

    # SSL証明書
    SSLCertificateFile /etc/letsencrypt/live/ji0vwl.net/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/ji0vwl.net/privkey.pem
    #SSLCertificateFile /etc/letsencrypt/live/ji0vwl.net/cert.pem
    #SSLCertificateChainFile /etc/letsencrypt/live/ji0vwl.net/chain.pem

    # for gZip圧縮
   <IfModule mod_deflate.c>
       DeflateCompressionLevel 1
       <IfModule mod_filter.c>
        FilterDeclare COMPRESS
        FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} =~ m#^text/#i"
        FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} =~ m#^application/(atom\+xml|javascript|json|rss\+xml|xml|xhtml\+xml)#i"
        FilterProvider COMPRESS DEFLATE "%{CONTENT_TYPE} =~ m#^image/(svg\+xml|vnd\.microsoft\.icon)#i"
        FilterChain COMPRESS
        FilterProtocol COMPRESS DEFLATE change=yes;byteranges=no
       </IfModule>
   </Ifmodule>

   # for Brotli圧縮
   <IfModule mod_brotli.c>
       SetOutputFilter BROTLI_COMPRESS
       SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-brotli

       BrotliCompressionQuality 5
       BrotliCompressionWindow 18

       BrotliFilterNote Input instream
       BrotliFilterNote Output outstream
       BrotliFilterNote Ratio ratio
       LogFormat '"%r" %{outstream}n/%{instream}n (%{ratio}n%%)' brotli
       CustomLog "logs/brotli_log" brotli
   </IfModule>

   # for dosdetector
   DoSDetection on
   DoSPeriod 60
   DoSThreshold 250
   DoSBanPeriod 60
   DoSTableSize 100
   RewriteEngine On
   RewriteCond %{ENV:SuspectDoS} =1
   RewriteRule .* - [R=503,L]
   ErrorDocument 503 "<h1>Sorry, ji0vwl.net is busy.. Please access later.</h1>"
</VirtualHost>
</IfModule>
-----------------------------------------
:wq

4. Apache 2.4.41 を httpd4.service に登録

「systemctl start httpd4」で起動できるように、httpd4 という名前のサービスとして登録します。reload=graceful動作です。今回は2.4.39のhttpd4を使いまわしたのでとくに対応は必要ありません。

 # vi /etc/systemd/system/httpd4.service
-----------------------------------------
[Unit]
Description=The Apache HTTP Server
After=network.target remote-fs.target nss-lookup.target
 
[Service]
Type=forking
ExecStart=/usr/local/httpd4/bin/apachectl start
ExecReload=/usr/local/httpd4/bin/apachectl graceful
ExecStop=/usr/local/httpd4/bin/apachectl stop
 
[Install]
WantedBy=multi-user.target
-----------------------------------------
:wq

# systemctl daemon-reload
# systemctl list-unit-files | grep httpd4

5. PHP 7.3.8 を /usr/local/php7.3.8 にインストールする

–with-apxs2=[dir]でPHPとApacheを、–with-openssl=[dir]でPHPとOpenSSLを、–with-mysql-sock=[dir]でPHPとmySQLを結びつけます。

# cd /usr/local/src
# yum -y install libxml2-devel systemd-devel libpng-devel libwebp libwebp-devel libwebp-tools
# wget http://jp2.php.net/get/php-7.3.8.tar.gz/from/this/mirror -O /usr/local/src/php-7.3.8.tar.gz
# tar -xvzf php-7.3.8.tar.gz
# cd php-7.3.8
# ./configure \
--prefix=/usr/local/php7.3.8 \
--with-apxs2=/usr/local/httpd4/bin/apxs \
--with-openssl=/usr/local/ssl \
--with-mysql-sock=/var/lib/mysql/mysql.sock \
--with-mysqli \
--with-pdo-mysql \
--enable-mbstring \
--with-freetype-dir=/usr \
--with-png-dir=/usr \
--with-jpeg-dir=/usr \
--with-webp-dir=/usr \
--with-gd=shared \
--with-zlib \
--with-fpm-systemd \
--with-fpm-user=apache \
--with-fpm-group=apache \
--enable-gd-jis-conv \
--enable-fpm \
--enable-ftp
# make
# make install
# libtool --finish /usr/local/src/php-7.3.8/libs

6.  Passenger 6.0.2 をインストール

Redmineを動かさない場合は飛ばしていただいて問題ありません。httpd4を上書きしたので今回は再インストール不要でした。

# gem install passenger
# chmod o+x "/root"
# passenger-install-apache2-module --apxs2-path "/usr/local/httpd4/bin/apxs"      # めちゃくちゃ時間がかかります
1
[Enter]
●Ruby
●Python
[Enter]
y
[Enter]
.
.
.
★30分以上。気長に待ちましょう★
.
.
[Enter]
[Enter]

7. 代替起動していたhttpdを停止、2.4.41に上書きしたhttpd4を起動

# systemctl stop httpd
# systemctl start httpd4

httpd4を起動してSSL LabsでHTTPSの検証を行い、無事Apache 2.4.41/OpenSSL 1.1.1c/PHP 7.3.8/(Passenger 6.0.2)の環境にて、動作が確認できました！