名前ベースのバーチャルホストでＳＳＬ

プランとしては、夢は無限大。サブドメインを切りまくって、

• • https://svn.forest-pierrot.net/
  • https://forest-pierrot.net/
  • https://www.forest-pierrot.net/

あたりをすべてSSLアクセス可能にしようと思った。

がひとつの問題にぶつかる。

名前ベースのバーチャルホストでのＳＳＬ利用は自由が利かない。

自由が利かないというあいまいな表現にしているが、Ａｐａｃｈｅのドキュメントなんかには、「できません」ときっぱり書いてある。だが、実際いろいろ調べると、無理やりやる手段はいくつかありそうなのでこういう表現にしてみた。

ＩＰアドレス複数持ってＩＰベースのバーチャルホストにすればそもそも無問題なのだが、マンションのプロバイダ、固定グローバルＩＰ契約はしたが、ＩＰアドレス２つ以上くれるサービスはなさそうな気がする。っていうかあっても、そんなお金かけたくない。

以下の解決可能性があるかなぁとおもう。

1. *.forest-pierrot.netを証明するワイルドカード証明書？（こんなことできるんか？）
2. 443以外のポートも使う。
3. ssl.forest-pierrot.netというサブドメインをつくって、sslここでのみで使い、今後いろいろ立ち上げるサービスで共用する。

２は見た目がスマートじゃない、３もスマートじゃない。１ができればいいが、そもそもそんなこと出来るのか？

→(1/30追記)できました。

オレオレ認証局

と、そんな高度な問題に悩む前に、ひとつのドメインでもいいから、きれいにＳＳＬをやってみたい。まだブラウザのアドレスバーが白いままＳＳＬできてないんだから。

ということで、こんなことをしてみた。

• Shimono CAなる怪しいルートＣＡをを作って、
• このＣＡでサーバ証明書のＣＳＲを署名して
• 出来た証明書をApacheに組み込んで、
• ルートＣＡの証明書をder形式にして
• こいつをブラウザに組み込んで
• アクセスしてみる。

しかし、何が起こったかというと、

• 今までアドレスバーが赤かったもののアクセスできたのに
• ルート証明書を組み込んだとたん、403が帰ってくるようになった。

うーむ。Apacheのログもまともに出てこないし、よくわからん。
引き続き勉強・勉強