検索
連載

OpenSSLをビルドしてApacheで利用する仕事で使える魔法のLAMP(17)

今回は、Apache HTTP Serverに追加モジュールを組み合わせてビルドしてみます。失敗したときの対策も紹介します(編集部)

PC用表示
Share
Tweet
LINE
Hatena

セキュリティにかかわるOpenSSLは自分でビルドすべき

 第14回からApache HTTP Server(以下Apache)をビルドする方法を解説していますが、今回はちょっと寄り道をしまして、OpenSSLをビルドする方法を紹介します。OpenSSLはApacheをSSLに対応させるために必要になる、重要な外部ソフトウェアです。

 OpenSSLのようなライブラリはわざわざビルドすることなく、前回説明したようにディストリビューションが提供するパッケージを使うこともできます。しかし、もしディストリビューションが古くなり、セキュリティアップデートの提供が期待できないとしたら、そのまま使うのは問題があります。SSLのような信頼性が大切なものではなおさらです。そこで今回は、そういった事態も想定して、あえてビルドしてみることにします。

 また、OpenSSLはこれまで解説してきたソフトウェアとは異なり、ビルドにconfigureスクリプトを使わないソフトウェアでもあります。configureを使わないときの例として、参考になればと思います。

 OpenSSLには、configureの代わりになるような、ビルド設定スクリプトが付属しています。configureを利用しないのは、異なるプラットフォームへの移植をしやすくするという目的があると思われます。configureにも、ソフトウェアの移植をしやすくするという狙いがありましたが、これは基本的にUNIX系のシステム間の移植を想定しています。OpenSSLは、Windowsなどの大きく異なるOSにも容易に移植できるように、独自のツールを使っているのでしょう。

 ビルドのために必要なものとしては、コンパイラなど、ごく普通のツール以外に、Perl 5が必要になります。これは、上記の独自ツールがPerlで記述されているためです。Perl 5はLinux OSなら初期状態でインストールされていると思いますが、インストールされていなければ次のようにしてインストールします。

$ sudo yum install perl

 また、絶対に必要なライブラリではありませんが、今回はzlibも利用します。第15回で、mod_deflateをビルドするためにインストールしたものです。インストールがまだでしたら、第15回を参考にインストールしてください。

 OpenSSLにはバージョン1.0.0系バージョン0.9.8系の2系統があり、どちらもメンテナンスが続いています。現在のLinuxディストリビューションでは0.9.8系が主流ですが、そろそろ1.0.0系に切り替わっていくでしょう。ということで今回は1.0.0系を使うことにします。最新のバージョンは1.0.0dです。

configスクリプトを利用する

 UNIX系OSでは、configというスクリプトでインストール先などを設定します。configure同様に、引数で設定を指定するのです。「--prefix」でインストール先を指定できるのはまったく同じです。今回は「/opt/openssl-1.0.0d」にインストールすることにします。さらに、シェアードライブラリ(第7回参照)としてビルドすると指定する「shared」、zlibを利用すると指定する「zlib」を引数にします。

 まとめると、次のようなコマンドラインになります。

./config --prefix=/opt/openssl-1.0.0d \
  shared \
  zlib \
  2>&1 | tee config_log.txt

 ビルドおよびインストールは、いつも通り「make」「sudo make install」です。

 OpenSSLはSSLのライブラリだけでなく、SSLの証明書作成などの機能を持つopensslコマンドと一体になっているソフトウェアです。インストールが終わったら、opensslコマンドが正しく起動するか、次のように確認します。

$ /opt/openssl-1.0.0d/bin/openssl version
OpenSSL 1.0.0d 8 Feb 2011

 次に、シェアードライブラリが正しくリンクできているかも確認しましょう。

$ /opt/openssl-1.0.0d/bin/openssl
        linux-vdso.so.1 =>  (0x00007fff77443000)
        libssl.so.1.0.0 => /opt/openssl-1.0.0d/lib/libssl.so.1.0.0 (0x00002b174310d000)
        libcrypto.so.1.0.0 => /opt/openssl-1.0.0d/lib/libcrypto.so.1.0.0 (0x00002b1743364000)
        libdl.so.2 => /lib64/libdl.so.2 (0x0000003430600000)
        libz.so.1 => /usr/lib64/libz.so.1 (0x0000003431200000)
        libc.so.6 => /lib64/libc.so.6 (0x0000003430200000)
        /lib64/ld-linux-x86-64.so.2 (0x000000342fe00000)

 OpenSSLのライブラリであるlibssllibcrypt/opt/openssl-1.0.0dにあるものとリンクしていること、libzがリンクできていることが確認できます。

 OSにもOpenSSLをインストールしている場合、ビルドツールなどのバグで、リンク先を間違えていないとも限りません。lddコマンドによるライブラリの確認は忘れずに実施しましょう。

OpenSSLを使うようにApacheをビルド

 OpenSSLがインストールできましたら、このOpenSSLを使うようにApacheをビルドしましょう。「--with-ssl=/opt/openssl-1.0.0d」とOpenSSLのインストールディレクトリを指定します。前回はパッケージでインストールした標準の場所にあるOpenSSLを使ったため、ディレクトリは指定せずに「--with-ssl」を使いました。

 コマンドラインは次のようになります。

./configure \
  --prefix=/opt/apache-httpd-2.2.19 \
  --enable-mods-shared=all \
  --enable-ssl \
  --with-ssl=/opt/openssl-1.0.0d \
  --with-mpm=prefork \
  2>&1 | tee configure_log.txt

 この状態でビルド、インストールしたとします。次のようにlddコマンドで、sslモジュール(mod_ssl)のリンク状況を調べてみます。

$ ldd /opt/apache-httpd-2.2.19/modules/mod_ssl.so
        linux-vdso.so.1 =>  (0x00007fff547fc000)
        libssl.so.1.0.0 => not found
        libcrypto.so.1.0.0 => not found
        libdl.so.2 => /lib64/libdl.so.2 (0x00002b812f930000)
        libz.so.1 => /usr/lib64/libz.so.1 (0x00002b812fb34000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x00002b812fd49000)
        libc.so.6 => /lib64/libc.so.6 (0x00002b812ff64000)
        /lib64/ld-linux-x86-64.so.2 (0x000000342fe00000)

 libsslとlibcryptoがnot foundとなってしまい、リンクするライブラリが見つからない状態です。これではApacheは起動すらしません。標準ではないディレクトリにあるライブラリとリンクしたときに、よく起こる問題です。

 解決方法はいくつかありますが、今回は環境変数LD_LIBRARY_PATHを使う方法を紹介します。LD_LIBRARY_PATHは、ライブラリのサーチパスを指定するものです。環境変数を設定してコマンドを実行するenvコマンドを使い、次のように実行します。

$ env LD_LIBRARY_PATH=/opt/openssl-1.0.0d/lib ldd /opt/apache-httpd-2.2.19/modules/mod_ssl.so
        linux-vdso.so.1 =>  (0x00007fff50bfc000)
        libssl.so.1.0.0 => /opt/openssl-1.0.0d/lib/libssl.so.1.0.0 (0x00002b2ae3d08000)
        libcrypto.so.1.0.0 => /opt/openssl-1.0.0d/lib/libcrypto.so.1.0.0 (0x00002b2ae3f60000)
        libdl.so.2 => /lib64/libdl.so.2 (0x00002b2ae430d000)
        libz.so.1 => /usr/lib64/libz.so.1 (0x00002b2ae4511000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x00002b2ae4726000)
        libc.so.6 => /lib64/libc.so.6 (0x00002b2ae4941000)
        /lib64/ld-linux-x86-64.so.2 (0x000000342fe00000)

 今度は無事、2つのライブラリをリンクできました。Apacheの環境変数はbin/envversファイルで設定できますので、次の行を同ファイルに追加することで起動するようになります。

LD_LIBRARY_PATH="/opt/openssl-1.0.0d/lib:$LD_LIBRARY_PATH"

 今回解説したケースでは、ライブラリがnot foundとなり、Apacheは起動すらしませんでした。OS側にインストールされているOpenSSLは0.9.8系で、バージョンが一致していないため、どう転んでもnot foundのままです。シェアードライブラリはバージョン番号を含めたファイル名になっているためです。

 独自インストールしたOpenSSLが0.9.8系である場合、OSとバージョンが一致してしまい、使用者が意図しないライブラリで起動できてしまう可能性もあります。これは起動できないという状態より、問題に気付きにくく、危険と言えます。繰り返しになりますが、lddコマンドでのチェックは怠らないようにしましょう。

 次回はldapモジュールについて解説します。

著者紹介

株式会社イメージズ・アンド・ワーズ
代表取締役
山口晴広(やまぐち はるひろ)



「仕事で使える魔法のLAMP」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る