apache2の設定

まず、httpd.confのhttpd-ssl.confのinludeを有効にします。

# diff -U0 httpd.conf.org httpd.conf
--- httpd.conf.org
+++ httpd.conf
@@ -477 +476 @@
-#Include /private/etc/apache2/extra/httpd-ssl.conf
+Include /private/etc/apache2/extra/httpd-ssl.conf

次にincludeしたhttpd-ssl.confの編集。

diff -U0 extra/httpd-ssl.conf.org extra/httpd-ssl.conf
--- extra/httpd-ssl.conf.org
+++ extra/httpd-ssl.conf

サーバーのhttps用のDocumentRootの設定、サーバー名等の設定
@@ -77,3 +77,3 @@
-DocumentRoot "/Library/WebServer/Documents"
-ServerName www.example.com:443
-ServerAdmin you@example.com
+DocumentRoot "/Library/WebServer/SecureDocuments"
+ServerName hogehoge.com:443
+ServerAdmin hoge@hogehoge.com

CA認証ファイルの指定
@@ -128,0 +129,4 @@
+#SSLCACertificatePath "/private/etc/apache2"
+SSLCACertificateFile "/private/etc/apache2/cacert.pem"

Client認証の要求設定
@@ -144,2 +148,2 @@
-#SSLVerifyClient require
-#SSLVerifyDepth  10
+SSLVerifyClient require
+SSLVerifyDepth  1

SecureDocumentのディレクトリ設定
@@ -195,0 +200,24 @@
+<Directory "/Library/WebServer/SecureDocuments">
+    Order allow,deny
+    Allow from all
+    SSLRequireSSL
+    SSLVerifyClient require
+</Directory>

将来のために各制御サーバー毎にdirectoryを切っておきます。
+<Directory "/Library/WebServer/SecureDocuments/control1">
+    AuthUserFile /private/etc/apache2/htpasswd/control1
+    AuthName "Please Your ID Passwd"
+    AuthType Basic
+    require valid-user
+    SSLRequireSSL
+    SSLVerifyClient require
+    SSLOptions +StdEnvVars +FakeBasicAuth
+</Directory>
+
+<Directory "/Library/WebServer/SecureDocuments/control2">
+    AuthUserFile /private/etc/apache2/htpasswd/control2
+    AuthName "Please Your ID Passwd"
+    AuthType Basic
+    require valid-user
+    SSLOptions +StdEnvVars +FakeBasicAuth
+</Directory>

各制御サーバーごとにパスワードファイルを作成します。
クライアント証明書のbackupのディレクトリへ行き

# openssl x509 -noout -subject -in newcert.pem

を実行するとsubjectが出力されます。
このsubject=を除いた部分をアカウントとしてhtpasswdを実行します。
control1用のアカウント１つめtest1

# htpasswd -c /private/etc/apache2/htpasswd/contro1 "/C=JP/ST….."

-cをつけるとパスワードファイルを新規に作成します。
２つ目のアカウントtest2

# htpasswd /private/etc/apache2/htpasswd/contro1 "/C=JP/ST….."

これを制御サーバーごとに繰り返します。

cgiの実行に関してはSSL関連の環境変数を実行時に確認してセキュリティを確保します。
これに関しては別途。