divide Linux/Apache

+- [[mod_geoip]]

+- [[mod_security]]

+- [[mod_ssl]]

+- [[ApacheErrorLogFormatter|/Perl/ApacheErrorLogFormatter]]

+ ```

+ # yum install httpd-devel

+ ```

+ ```apache

+ # Use name-based virtual hosting.

+ NameVirtualHost *:80

+

+ <VirtualHost *:80>

+ ServerName www.takeash.net

+ DocumentRoot /var/www/html/

+ </VirtualHost>

+

+ <VirtualHost *:80>

+ ServerName vh1.takeash.net

+ DocumentRoot /var/www/vh1-html/

+ <Directory "/var/www/vh1-html">

+ # AllowOverride All

+ </Directory>

+ </VirtualHost>

+ ```

+ ```

+ [warn] _default_ VirtualHost overlap on port 80, the first has precedence

+ ```

+ htdigest [-c] passwdfile <realm> <username>

+ ```

+ - /etc/httpd/conf.d/DigestAuth.conf

+ ```apache

+ <Directory "/var/www/html/Download/<realm>">

+ AllowOverride AuthConfig

+ AuthType Digest

+ AuthName "<realm>"

+ AuthUserFile /var/www/passwd/passwords_digest

+ Require user <username>

+ Options None

+ Options Indexes

+ DirectoryIndex index.html index.htm index.php

+ Order allow,deny

+ Allow from all

+ </Directory>

+[[_TOC_]]

+

+# インストール

+- EPELリポジトリ

+ ```

+ yum install mod_geoip

+ ```

+

+# 設定

+- /etc/cron.monthly/updateGeoIP<br />

+データベースの自動更新スクリプト

+ ```bash

+ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz

+ gunzip GeoIP.dat.gz

+ mv -f GeoIP.dat /usr/share/GeoIP/GeoIP.dat

+ /sbin/restorecon -v /usr/share/GeoIP/GeoIP.dat

+ ```

+- GeoIP が表示されない場合は、SELinux のラベルを確認。

+ ```

+ # ls -Z /usr/share/GeoIP/

+ Good) unconfined_u:object_r:usr_t:s0

+ NG) unconfined_u:object_r:admin_home_t:s0

+ ```

+ - ラベルが正しくない場合は下記コマンドで修正する。

+ ```

+ # sealert -a /var/log/audit/audit.log

+ # /sbin/restorecon -v /usr/share/GeoIP/GeoIP.dat

+ ```

+ - ラベル修正後、httpd を再起動すること。

+ ```

+ # service httpd restart

+ ```

+

+# リンク

+- [MaxMind](http://www.maxmind.com/)

+ - [mod_geoip2 Apache module](http://dev.maxmind.com/geoip/mod_geoip2)

+ - [GeoLite Free Downloadable Databases](http://dev.maxmind.com/geoip/geolite)

+- [Apache2 mod_geoip CentOS うざい国を弾くモジュール « ORBIT SPACE](http://www.orsx.net/blog/archives/2510)

+[[_TOC_]]

+

+# インストール

+- EPELリポジトリ

+ ```

+ # yum install mod_security mod_security_crs

+ ```

+

+# 設定

+- /etc/httpd/conf.d/mod_security.conf (抜粋)

+ ```apache

+ # Maximum request body size we will

+ # accept for buffering

+ #SecRequestBodyLimit 131072

+ SecRequestBodyLimit 5242880

+ SecRequestBodyNoFilesLimit 51200

+ ```

+

+- /etc/httpd/modsecurity.d/modsecurity_localrules.conf

+ ```apache

+ # Drop your local rules in here.

+

+ # White List IP

+ SecRule REMOTE_ADDR "@pmFromFile /etc/httpd/modsecurity.d/whitelist_ip.txt" \

+ "phase:1,id:'1000001',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+ # White List URI

+ SecRule REQUEST_URI "@pmFromFile /etc/httpd/modsecurity.d/whitelist_uri.txt" \

+ "phase:1,id:'1000002',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+ # White List URI 2

+ SecRule REQUEST_URI "@rx ^\/Etc\/" \

+ "phase:1,id:'1000003',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+ # White List Sub-Domain

+ SecRule REQUEST_HEADERS:Host "@pmFromFile /etc/httpd/modsecurity.d/whitelist_subdomain.txt" \

+ "phase:1,id:'1000004',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+ # ZmEu Attack / phpMyAdmin

+ SecRule REQUEST_URI "@rx (?i)\/(php-?My-?Admin[^\/]*|mysqlmanager|myadmin|pma2005|pma\/scripts|w00tw00t[^\/]+)\/" \

+ "severity:alert,id:'0000013',deny,log,status:400,msg:'Unacceptable folder.',severity:'2'"

+ ```

+ - mod_security-2.7.1 でエラーが出るから適当にid追加したけど、idの振り方のルールってどこにあるのかな？

+ ```

+ ModSecurity: No action id present within the rule

+ ```

+

+- /etc/httpd/modsecurity.d/whitelist_ip.txt<br />

+mod_security による制限を行わない IP アドレスを列挙する。<br />

+コメントは行頭から「#」で始める。

+ ```

+ # localhost

+ 127.0.0.1

+

+ # example.com

+ xxx.xxx.xxx.xxx

+

+ # example.net

+ yyy.yyy.yyy.yyy

+ ```

+

+- /etc/httpd/modsecurity.d/whitelist_uri.txt<br />

+mod_security による制限を行わない URI を列挙する。

+ ```

+ /cgi-bin/etc/PrintEnv.cgi

+ /cgi-bin/etc/PrintEnv_txt.cgi

+ /cgi-bin/etc/index.cgi

+ /cgi-bin/etc/testCGI.cgi

+ ```

+

+- /etc/httpd/modsecurity.d/whitelist_subdomain.txt<br />

+mod_security による制限を行わないホスト名を列挙する。

+ ```

+ # WebApp1

+ vh1.takeash.net

+ ```

+

+- /etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_20_protocol_violations.conf

+ - id:958291 "Range: 0-", mp4 等のストリーミングや分割ダウンロードが行われるファイルのダウンロードで引っかかる。

+

+# リンク

+- http://modsecurity.org/

+ - [Reference Manual](https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual)

+ - [The Open Web Application Security Project](https://www.owasp.org/)

+- [hashdos攻撃をmod_securityで防御する(CentOS+yum編) - 徳丸浩の日記](http://blog.tokumaru.org/2012/01/hashdosmodsecuritycentosyum.html)

+- [Attack by ZmEu - The Linux Page](http://linux.m2osw.com/zmeu-attack) phpMyAdmin 脆弱性スキャンスクリプト対策

+- [黒ぶちメガネのblog » mod_securityのホワイトリスト、ブラックリストの書き方メモ](http://www.kurobuti.com/blog/?p=3775)

+- [禁煙できないSEの独り言: ModSecurity 2.5.12の導入](http://hiro-system.blog.ocn.ne.jp/blog/2010/04/modsecurity_251.html)

+- [(続)spammer対策 - ねこ様にもてあそばれる日々(2006-05-03)](http://m9841.info/?date=20060503#p02)

+- [mod_securityでWebサーバを守る(第1回) - ソフテック](http://www.softek.co.jp/Sec/mod_security1.html)

+- Webアプリケーションに潜むセキュリティホール

+ - [Webアプリケーションファイアウォールによる防御](http://www.atmarkit.co.jp/fsecurity/rensai/webhole11/webhole01.html)

+ - [mod_securityのXSS対策ルールを作成する](http://www.atmarkit.co.jp/fsecurity/rensai/webhole12/webhole01.html)

+- [UNIX的なアレ：gihyo.jp出張所](http://gihyo.jp/admin/serial/01/unix)

+ - [第19回 知っておきたいApacheの基礎知識 その15](http://gihyo.jp/admin/serial/01/unix/0019)

+[[_TOC_]]

+

+# インストール

+```

+# yum install mod_ssl

+```

+

+# 自己署名証明書

+

+- SAN 項目を追加した設定ファイルを作成。

+ ```

+ # cd /etc/pki/tls/

+ # cp openssl.cnf openssl-san.cnf

+ ```

+

+- openssl.cnf と openssl-san.cnf の差分

+ ```

+ --- openssl.cnf

+ +++ openssl-san.cnf

+ @@ -104,7 +104,7 @@

+ ####################################################################

+ [ req ]

+ default_bits = 2048

+ -default_md = sha1

+ +default_md = sha256

+ default_keyfile = privkey.pem

+ distinguished_name = req_distinguished_name

+ attributes = req_attributes

+ @@ -222,6 +222,11 @@

+

+ basicConstraints = CA:FALSE

+ keyUsage = nonRepudiation, digitalSignature, keyEncipherment

+ +subjectAltName=@alt_names

+ +

+ +[ alt_names ]

+ +DNS.1=takeash.net

+ +DNS.2=*.takeash.net

+

+ [ v3_ca ]

+

+ ```

+- 証明書フォルダへ移動

+ ```

+ # cd certs/

+ ```

+- サーバー用秘密鍵作成 (server.key)

+ ```

+ # openssl genrsa -aes128 2048 > server.key

+ ```

+- パスフレーズ削除<br />

+httpd 再起動時にパスフレーズが要求されないようにするため。

+ ```

+ # openssl rsa -in server.key -out server.key

+ ```

+- サーバー用自己署名証明書作成 (server.crt)

+ ```

+ # openssl req -utf8 -new -key server.key -x509 -days 3650 -out server.crt -set_serial 0 \

+ -subj '/C=JP/ST=Tokyo/L=Chuo-ku/O=TakeAsh.net/CN=takeash.net' -extensions v3_req -config ../openssl-san.cnf

+ ```

+ - サブジェクト例 (TakeAsh.net)

+

+ | 項目 | 用途 | サンプル |

+ | --- | --- | --- |

+ | C | 国名コード | JP |

+ | ST | 都道府県 | Tokyo |

+ | L | 区市町村 | Chuo-ku |

+ | O | 組織名 | TakeAsh.net |

+ | CN | コモンネーム(ドメイン名) | takeash.net |

+

+ - 証明書確認<br />

+「X509v3 extensions - X509v3 Subject Alternative Name」項目が存在すれば SAN が含まれている。

+ ```

+ # openssl x509 -in server.crt -text

+ ...

+ X509v3 Subject Alternative Name:

+ DNS:takeash.net, DNS:*.takeash.net

+ ...

+ ```

+

+- /etc/httpd/conf.d/ssl.conf (抜粋)

+ ```

+ SSLCertificateFile /etc/pki/tls/certs/server.crt

+ SSLCertificateKeyFile /etc/pki/tls/certs/server.key

+ DocumentRoot "/var/www/html"

+ SSLProtocol all -SSLv2 -SSLv3

+ ```

+

+- httpd 再起動

+ - CentOS 6

+ ```

+ # service httpd restart

+ ```

+ - CentOS 7

+ ```

+ # systemctl restart httpd

+ ```

+

+- 動作テスト

+ - https://takeash.net/cgi-bin/etc/PrintEnv.cgi

+ - https://www.takeash.net/cgi-bin/etc/PrintEnv.cgi

+

+# Certbot

+- Certbot 使用前準備

+ - ホスト名が正引きできること。(ワイルドカード不可)

+ - バーチャルホストのサーバ名と要求するドメイン名のどれかが一致すること。

+ - インターネットから https でアクセス可能になっていること。

+ - https ポート解放

+ ```

+ # firewall-cmd --permanent --add-service=https

+ ```

+ - CertBot は Apache が稼働しているサーバ上で実行する。

+

+- Certbot インストール (EPEL リポジトリ)

+ ```

+ # yum install python-certbot-apache

+ ```

+

+- 証明書取得<br />

+取得に成功すると「/etc/letsencrypt/live/<ドメイン1>/」に証明書が作成される。

+ ```

+ # certbot certonly --apache \

+ -m <メールアドレス> --agree-tos \

+ -d <ドメイン1> [-d <ドメイン2> ...]

+ ```

+

+- /etc/httpd/conf.d/ssl.conf (抜粋)

+ ```

+ Listen 443 https

+ SSLEngine on

+ SSLCertificateFile /etc/letsencrypt/live/<ドメイン1>/cert.pem

+ SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン1>/privkey.pem

+ SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン1>/chain.pem

+ ```

+

+- /etc/httpd/conf.d/VirtualHosts.conf (抜粋)

+バーチャルホスト毎に SSL 設定が必要。

+ ```

+ <VirtualHost *:80 *:443>

+ ServerName vh1.<ドメイン1>

+ DocumentRoot /var/www/vh1-html/

+ SSLEngine on

+ SSLCertificateFile /etc/letsencrypt/live/<ドメイン1>/cert.pem

+ SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン1>/privkey.pem

+ SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン1>/chain.pem

+ <Directory "/var/www/vh1-html">

+ AllowOverride All

+ </Directory>

+ </VirtualHost>

+ ```

+

+- 自動更新スクリプト /etc/cron.monthly/certbot.sh

+ ```bash

+ #!/bin/bash

+ /bin/certbot renew

+ ```

+

+# Certbot (ワイルドカード, 手動)

+- Certbot インストール (EPEL リポジトリ)

+ ```

+ # yum -y install yum-utils

+ # yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

+ # yum install certbot-apache

+ ```

+

+- 証明書取得(手動)<br />

+途中HTTPへのテキストファイルの配置とDNSへのTXTレコードの追加を指示されるので、追加してからEnterを押して先へ進む。<br />

+取得に成功すると「/etc/letsencrypt/live/<ドメイン>/」に証明書が作成される。

+ ```

+ # certbot certonly --manual \

+ --server https://acme-v02.api.letsencrypt.org/directory \

+ -d "*.example.com" -d example.com

+ ```

+

+- /etc/httpd/conf.d/ssl.conf (抜粋)

+ ```

+ Listen 443 https

+ SSLEngine on

+ SSLCertificateFile /etc/letsencrypt/live/<ドメイン>/cert.pem

+ SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン>/privkey.pem

+ SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン>/chain.pem

+ ```

+

+- /etc/httpd/conf.d/VirtualHosts.conf (抜粋)

+バーチャルホスト毎に SSL 設定が必要。

+ ```

+ <VirtualHost *:80 *:443>

+ ServerName vh1.<ドメイン1>

+ DocumentRoot /var/www/vh1-html/

+ SSLEngine on

+ SSLCertificateFile /etc/letsencrypt/live/<ドメイン1>/cert.pem

+ SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン1>/privkey.pem

+ SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン1>/chain.pem

+ <Directory "/var/www/vh1-html">

+ AllowOverride All

+ </Directory>

+ </VirtualHost>

+ ```

+

+- apache 再起動

+CentOS 7

+ ```

+ # systemctl restart httpd

+ ```

+

+- 証明書更新<br />

+「--manual」で取得した場合は「renew」による自動更新ができないので、既存の証明書を削除し同名で取得し直す。

+ ```

+ # certbot delete

+ ```

+

+# Certbot (ワイルドカード, 自動)

+- Certbot, DNS Plugin インストール (EPEL リポジトリ)

+ ```

+ # yum -y install yum-utils

+ # yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

+ # yum install certbot-apache python2-certbot-dns-rfc2136

+ ```

+

+- BIND 用認証キーの作成

+Kcertbot-key.+165+43987.key, Kcertbot-key.+165+43987.private の２つのファイルが作成される。

+ ```

+ # cd /etc/named/

+ # dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST certbot-key

+ ```

+

+- 認証ファイル /etc/named/certbot_rfc2136.ini , ファイルモード 600

+ ```

+ # Target DNS server

+ dns_rfc2136_server = 127.0.0.1

+ # Target DNS port

+ dns_rfc2136_port = 53

+ # TSIG key name

+ dns_rfc2136_name = certbot-key.

+ # TSIG key secret

+ dns_rfc2136_secret = <Kcertbot-key.+165+43987.key のハッシュ値>

+ # TSIG key algorithm

+ dns_rfc2136_algorithm = HMAC-SHA512

+ ```

+

+- /etc/named.conf に追加

+ ```

+ key "certbot-key." {

+ algorithm hmac-sha512;

+ secret "<Kcertbot-key.+165+43987.key のハッシュ値>";

+ };

+

+ view "internal" {

+ match-clients { localhost; localnets; };

+ match-destinations { localhost; localnets; };

+ recursion yes;

+

+ zone "." IN {

+ type hint;

+ file "named.ca";

+ };

+

+ include "/etc/named.rfc1912.zones";

+ include "/etc/named.root.key";

+ include "/etc/named/<ドメイン>.lan.zone";

+ };

+

+ view "external" {

+ match-clients { any; };

+ match-destinations { any; };

+ recursion no;

+ include "/etc/named/<ドメイン>.wan.zone";

+ include "/etc/named/_acme-challenge.<ドメイン>.wan.zone";

+ };

+ ```

+

+- /etc/named/<ドメイン>.lan.zone

+ ```

+ zone "<ドメイン>" {

+ type master;

+ file "<ドメイン>.lan.db";

+ update-policy {

+ grant certbot-key. name _acme-challenge.<ドメイン>. txt;

+ };

+ };

+ ```

+

+- /etc/named/<ドメイン>.wan.zone

+ ```

+ zone "<ドメイン>" {

+ type master;

+ file "<ドメイン>.wan.db";

+ allow-query { any; };

+ update-policy {

+ grant certbot-key. name _acme-challenge.<ドメイン>. txt;

+ };

+ };

+ ```

+

+- /etc/named/_acme-challenge.<ドメイン>.wan.zone

+ ```

+ zone "_acme-challenge.<ドメイン>" {

+ type master;

+ file "_acme-challenge.<ドメイン>.wan.db";

+ allow-query { any; };

+ update-policy {

+ grant certbot-key. name _acme-challenge.<ドメイン>. txt;

+ };

+ };

+ ```

+

+- /var/named/<ドメイン>.wan.db

+ ```

+ $TTL 86400

+ @ IN SOA ns1.<ドメイン>. root.<ドメイン>. (

+ 2018090500 ; Serial

+ 28800 ; Refresh

+ 14400 ; Retry

+ 2592000 ; Expire

+ 86400 ; Minimum

+ )

+ IN NS ns1.<ドメイン>.

+ IN MX 10 mail.<ドメイン>.

+ @ IN A <グローバル IP アドレス>

+ ns1 IN A <グローバル IP アドレス>

+ www IN A <グローバル IP アドレス>

+ mail IN A <グローバル IP アドレス>

+ _acme-challenge IN NS ns1.<ドメイン>.

+ * IN A <グローバル IP アドレス>

+ <ドメイン>. IN TXT "v=spf1 a mx ~all"

+ ```

+

+- /var/named/_acme-challenge.<ドメイン>.wan.db

+ ```

+ $TTL 86400

+ @ IN SOA ns1.<ドメイン>. root.<ドメイン>. (

+ 2018090500 ; Serial

+ 1h ; Refresh

+ 15m ; Retry

+ 30d ; Expire

+ 1h ; Minimum

+ )

+ IN NS ns1.<ドメイン>.

+ ```

+

+- `<ドメイン>.jnl: create: permission denied`(/var/named/data/named.run) 対策

+ ```

+ # chmod 770 /var/named/

+ # setsebool -P named_write_master_zones 1

+ ```

+

+- 証明書取得

+ ```

+ # certbot certonly \

+ --dns-rfc2136 \

+ --dns-rfc2136-credentials /etc/named/certbot_rfc2136.ini \

+ -d "*.<ドメイン>" -d <ドメイン>

+ ```

+

+# 動作確認

+

+## 証明書の内容をテキスト出力

+```

+# openssl x509 -text -in /etc/letsencrypt/live/<ドメイン>/cert.pem

+```

+

+## 証明書の有効期限を表示

+getExpireDate.sh

+```bash

+#!/bin/bash

+

+CommonName=example.net

+

+NotAfter=`openssl x509 -noout -dates -in /etc/letsencrypt/live/${CommonName}/fullchain.pem | \

+ grep notAfter | \

+ sed -e "s/notAfter=//" | \

+ date -f - --iso-8601`

+echo ${NotAfter}

+```

+

+## SSL 接続確認

+```

+$ openssl s_client -connect <ホスト>:443

+```

+### 設定失敗

+```

+CONNECTED(00000003)

+140139752064912:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:

+---

+no peer certificate available

+---

+No client certificate CA names sent

+---

+SSL handshake has read 7 bytes and written 289 bytes

+---

+New, (NONE), Cipher is (NONE)

+Secure Renegotiation IS NOT supported

+Compression: NONE

+Expansion: NONE

+No ALPN negotiated

+SSL-Session:

+ Protocol : TLSv1.2

+ Cipher : 0000

+ Session-ID:

+ Session-ID-ctx:

+ Master-Key:

+ Key-Arg : None

+ Krb5 Principal: None

+ PSK identity: None

+ PSK identity hint: None

+ Start Time: 1535884386

+ Timeout : 300 (sec)

+ Verify return code: 0 (ok)

+---

+```

+### 設定成功

+```

+CONNECTED(00000003)

+depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3

+verify return:1

+depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

+verify return:1

+depth=0 CN = *.<ドメイン1>

+verify return:1

+---

+Certificate chain

+ 0 s:/CN=*.<ドメイン1>

+ i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3

+ 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3

+ i:/O=Digital Signature Trust Co./CN=DST Root CA X3

+---

+Server certificate

+-----BEGIN CERTIFICATE-----

+MIIGETCCBPmgAwIBAgISA3VBvI0cSyzAQGtpIaQKQRZxMA0GCSqGSIb3DQEBCwUA

+...

+```

+

+# リンク

+- [Let's Encrypt](https://letsencrypt.org/) Free SSL/TLS Certificates

+ - [Certbot](https://certbot.eff.org/) / [DNS Plugins](https://certbot.eff.org/docs/using.html#dns-plugins) / [certbot-dns-rfc2136](https://certbot-dns-rfc2136.readthedocs.io/en/latest/)

+

+- [Webサーバー間通信内容暗号化（Apache+mod_SSL+Certbot） - CentOSで自宅サーバー構築](http://centossrv.com/apache-certbot.shtml)

+- [CertbotとBINDの組み合わせでLet's Encryptのワイルドカード証明書を取得・更新する](https://qiita.com/yasuhirokimura/items/3a95e169f806b3772e06)

+- [OpenSSL CSR with Alternative Names one-line - End Point Blog](http://blog.endpoint.com/2014/10/openssl-csr-with-alternative-names-one.html)

+- [SAN対応 x.509 証明書を取得するためのCSRを作成する - Qiita](http://qiita.com/saitara/items/eda74ac6a950122b5f31)

+- [subjectAltNameでバーチャルホスト - Kung Noi Blog](http://www.goodnai.com/blog/2010/05/07/subjectaltname%E3%81%A7%E3%83%90%E3%83%BC%E3%83%81%E3%83%A3%E3%83%AB%E3%83%9B%E3%82%B9%E3%83%88/)

+- [Webサーバー間通信内容暗号化(Apache+mod_SSL) - CentOSで自宅サーバー構築](http://centossrv.com/apache-ssl.shtml)

+- [SSL Server Test (Powered by Qualys SSL Labs)](https://www.ssllabs.com/ssltest/)

+- [ssl certificate - how to add subject alernative name to ssl certs? - Stack Overflow](https://stackoverflow.com/questions/%38%37%34%34%36%30%37)

+ - keytool -certreq -ext SAN=dns:example.com,ip:192.168.0.1

+ - [keytool(ja)](https://docs.oracle.com/javase/jp/8/docs/technotes/tools/windows/keytool.html) / [keytool(en)](http://docs.oracle.com/javase/8/docs/technotes/tools/windows/keytool.html)

+- [[Apache|/Linux/Apache/Home]]