(cache) SSLアクセラレータ配下のapacheで、アクセスがhttpかhttpsかを判別する方法

少し前に試行錯誤して現在はひとまず解決したのですが、同じようにはてなで悩んでた人がいるみたいなので、自分の設定例を軽くまとめてみる。

SSL アクセラレータ配下にあるapache上でクライアントからのアクセスがhttpsかhttpであるかの判別をする方法はありますか？

mod_rewriteを利用しhttpのアクセスをhttpsにリダイレクトする設定を考えていますが、SSL アクセラレータを経由してのアクセスとなるため、apacheへの接続は全てhttpとなります。

回答にもあるように、恐らくapache単独では解決できませんが、SSL アクセラレータの設定と組み合わせれば可能です。それも拡張ヘッダやmod_rewriteなどの特別な仕組みは使用せずに。ただし、ここで書いてるのはSSL アクセラレータ付きのロードバランサ(以下、LB)を使用してる例なので、他の全てのSSL アクセラレータには当てはまらないかもしれません。でも似たようなことはできるかと。

あと、記事を書きながらhttps時のリダイレクト(自己参照URL)についても思い出して、それについても考慮して書きました。単にportを判別するだけならもっと簡単で良さげな気もしますが、長々と書いちゃっています。

設定

とりあえず先に結論を。

LB,SSL アクセラレータの設定

実サーバにhttp/httpsのリクエストを送信する際に、転送先のポート番号をそれぞれ個別に設定する。例えば

httpは80番
httpsは8443番 *1

言い換えると、http/httpsともに実サーバの80番にしか送れない場合は判別できません。たぶん大抵の場合は大丈夫だと思います。

実サーバのapacheの設定

NameVirtualHostでポート番号を変えて、http用とhttps用の2つの設定を作ります。

後で詳しく書きますが自己参照URLとServerNameの設定が大事。apacheのServerNameのドキュメントにもこう書いています。

リバースプロキシやロードバランサやSSL負荷軽減装置のような、 SSLを処理するマシンの後ろでサーバを動かす場合は、サーバが正しい自己参照 URLを確実に生成するように、 https:// スキームとクライアントが接続するポート番号を、 ServerName ディレクティブに指定してください。

Listen 80
Listen 8443

NameVirtualHost *:80
NameVirtualHost *:8443

# http用の設定
<VirtualHost *:80>
  ServerName www.hoge
  ## その他色々
</VirtualHost>

# https用の設定
<VirtualHost *:8443>
  ServerName https://www.hoge
  ## その他色々
</VirtualHost>

schemeとport番号を明示的に書くならこう。

# http用の設定
<VirtualHost *:80>
  ServerName http://www.hoge:80
  ## その他色々
</VirtualHost>

# https用の設定
<VirtualHost *:8443>
  ServerName https://www.hoge:443
  ## その他色々
</VirtualHost>

判別方法

こう設定しておけば、httpとhttpsで環境変数SERVER_PORTの値が変わります。cgi,phpなどで適当に出力すればわかります。

http://www.hoge/ => 80
https://www.hoge/ => 443

ここでhttpsの環境変数が8443ではなくて、443になっているのがポイントです。

clientからのhttpsのアクセスはLB,SSL アクセラレータを介して実サーバの8443に転送
実サーバのapacheはVirtualHostの8443番で待ち受けて応答

しているので、8443になりそうですが。。。

以下、それの補足です。

ServerNameと自己参照URL

これを理解するまで色々試行錯誤しました。詳細はapacheの以下ドキュメントを参照。

ServerName
- http://httpd.apache.org/docs/2.2/ja/mod/core.html#servername
UseCanonicalName
- http://httpd.apache.org/docs/2.2/ja/mod/core.html#usecanonicalname
UseCanonicalPhysicalPort
- http://httpd.apache.org/docs/2.2/ja/mod/core.html#usecanonicalphysicalport
mod_dir
- http://httpd.apache.org/docs/2.2/ja/mod/mod_dir.html

なぜhttps用のVirtualHostのServerNameにhttps://のschemaを指定しているのか。

話がややこしくならないように、ここでは以下のapacheのデフォルト設定が入ってるとします。

UseCanonicalName Off
UseCanonicalPhysicalPort Off

そして、ServerNameに他の設定をした例を紹介します。

ServerNameにschemaを指定せず、かつポート番号を書かない場合

通常のVirtualHostのように設定すると、以下のようになると思います。

# https
<VirtualHost *:8443>
  ServerName www.hoge
  ## 残りhttps用の設定
</VirtualHost>

このとき、clientからhttps://www.hoge/にアクセスされた場合の、apacheの自己参照URLはhttp://www.hoge/になっていると思われます。すると以下の問題が起こります。

環境変数で取得できるSERVER_PORTが80番になる
自己参照URLがhttp://のため、"/"なしのdirectoryにアクセスした場合などのリダイレクトがhttpになる

1番はそのままですね。本エントリの条件を満たしてないので問題外。2番は例を見てもらったほうがわかりやすいと思います。

"/"なしのディレクトリにアクセスした場合、

apache デフォルトではmod_dirのDirectorySlashが働いて"/"が補完されます。このときにclientに返されるURLは、自己参照URLに/が補完された形です。こんな感じです。

はてなグループで実験

※ はてなグループがSSL アクセラレータを使っているかは知りませんが、httpにリダイレクトするという例で紹介します。

https://fragments.g.hatena.ne.jp/hogem https://のスラッシュなしにアクセスすると
http://fragments.g.hatena.ne.jp/hogem/ http://にリダイレクト

opensslで確認するとよくわかります。

$ openssl s_client -connect fragments.g.hatena.ne.jp:443 -state
(中略)
HEAD /hogem HTTP/1.0
host: fragments.g.hatena.ne.jp

HTTP/1.1 302 Found
Date: Fri, 14 Nov 2008 12:22:30 GMT
Server: Apache/2.2.3 (CentOS)
Location: http://fragments.g.hatena.ne.jp/hogem/
X-Framework: Hatena/2.0
Content-Type: text/html; charset=iso-8859-1
Vary: Accept-Encoding
Connection: close

SSL3 alert read:warning:close notify
closed
SSL3 alert write:warning:close notify

302でhttpのURLが返ってきています。