CentOS 7 + Nginx + rep2 で HTTPS & HTTP/2化 (SSLなう!編)
そんなわけで、取り敢えず SSLなう!で証明書は取得して
Nginxを HTTPS & HTTP/2化まではやってみようかと
MyDNS.jpは、2018/9/1時点ではWebUIからの_acme-challengeレコード投入に対応しなくなった模様
(正確には、投入できるけど検索できない)
代わりにphpのスクリプトを提供
-> http://d.hatena.ne.jp/TKX/20180902#p1
MyDNS.jpはDNS情報を変更する事は可能なので、DNS認証(dns-01)でドメイン確認までは実施
mydns.jpのコントロールパネルから "_acme-challenge"のホスト名で、TXTレコードを作成
# dig @8.8.8.8 _acme-challenge.<domain> any
を何回か実行して結果が帰ってきたら、確認ボタンを押下すればOK
自分のServerで
# openssl genrsa 2048 > server_private_key.pem
を実行して、サーバー秘密鍵を生成してサイトに貼り付ければ
サーバー証明書 / 中間証明書 / フル証明書
が生成/発行される
Nginxでは使用するのは、サーバー秘密鍵とフル証明書の2つ
/etc/nginx/ssl 以下に格納
DH鍵交換に使用するパラメータファイルを作成する
Nginx 1.12.x以降はこのパラメーターファイルとconfへの指定が必須になった
# openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem
nginxのドメイン毎の confファイルは以下な感じで (FastCGI絡みもSSL設定の追記が必要)
server {
listen <Port> ssl http2;
server_name <Domain>;
ssl_certificate /etc/nginx/ssl/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/server_private_key.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets on;
# modern configuration. tweak to your needs.
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
# DH Key Parameter
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
location / {
root /var/www/html;
index index.html index.htm index.php;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /var/www/html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~ \.php$ {
root /var/www/html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi_params;
fastcgi_param HTTPS on;
fastcgi_param SSL_PROTOCOL $ssl_protocol;
fastcgi_param SSL_CIPHER $ssl_cipher;
fastcgi_param SSL_SESSION_ID $ssl_session_id;
fastcgi_param SSL_CLIENT_VERIFY $ssl_client_verify;
fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}基本的に、HTTPポートは開放せず HTTPSポートのみ空ける方針なので
# nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
configチェックして問題なければ
# systemctl reload nginx
Reloadして再構成して終了
後は、ブラウザーから https://
追記 : SSL CipherSuiteの指定については
Mozilla SSL Configuration Generatorを参考に構成しています
余談
Qualys SSL Labs の SSL Server Testは、デフォルトの 443しか対応していないようで
Port指定しても "Port 8443 is not supported"といった感じ
