Hatena::ブログ(Diary)

日々雑事&備考録 (Hatena Blog移行しました) このページをアンテナに追加

御用の向きは、TKXまで
tkx.dark あっと gmail.com

2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2014 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2015 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2016 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2017 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2018 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 |

2018-06-03

[][]Fastmirrorを jp 固定

yumのfastmirrorを国内限定指定


/etc/yum/pluginconf.d/fastestmirror.conf に

include_only=.jp

追記

[][][][]CentOS 7 + Nginx + rep2 で HTTPS & HTTP/2化

最近ブラウザーは、httpではなくhttpsでないと

危険サイト扱いされて表示そのものが出来無くなってくるとの事で

rep2サイトHTTPS化を実行


ついでにHTTP/2化も同時に実施する

HTTP/2は規格としてはHTTPSとは別立てで、HTTP Server側で一言設定を入れることでHTTPSとは別に設定が可能だが

ChromeFirefoxSafariブラウザ側の実装として、HTTP/2はHTTPSとセットになっていないとデコードできない現実がある

その為 HTTP/2の前提条件として、HTTPS実装必要になる


SSL証明書については、無料Let's Encrypt使用するとして

certbot使用すると秘密鍵生成まで自動してくれる


Let's Encryptの非公式日本語解説サイトもあるので、一通り読んでおくと良い

(但し情報が古すぎてイマイチ使えないのだが)


CentOS場合、EPELリポジトリcertbot パッケージが格納されているので

EPELリポジトリを導入するが、通常EPELリポジトリは導入しているのでスキップ


ちなみに今回

自宅サーバーなので、HTTPS化実施した場合HTTPSのPortだけ開放してHTTPポートを閉じようと考えている

Webの色々なやり方を見ていると、HTTPSだけポート開放した例が見当たらなかったので

更新の時に試行錯誤しような予感・・・


# yum install certbot

certbot パッケージと依存関係のあるパッケージ 40個程インストール


certbotのVerは結構頻繁に変わっており、それに伴ってオプションも色々変更あるみたいなので

現行のVer(0.24.0-1.el7)のOptionを確認

# certbot --help

-------------------------------------------------------------------------------

  certbot [SUBCOMMAND] [options] [-d DOMAIN] [-d DOMAIN] ...

Certbot can obtain and install HTTPS/TLS/SSL certificates.  By default,
it will attempt to use a webserver both for obtaining and installing the
certificate. The most common SUBCOMMANDS and flags are:

obtain, install, and renew certificates:
    (default) run   Obtain & install a certificate in your current webserver
    certonly        Obtain or renew a certificate, but do not install it
    renew           Renew all previously obtained certificates that are near
expiry
    enhance         Add security enhancements to your existing configuration
   -d DOMAINS       Comma-separated list of domains to obtain a certificate for

  (the certbot apache plugin is not installed)
  --standalone      Run a standalone webserver for authentication
  (the certbot nginx plugin is not installed)
  --webroot         Place files in a server's webroot folder for authentication
  --manual          Obtain certificates interactively, or using shell script
hooks

   -n               Run non-interactively
  --test-cert       Obtain a test certificate from a staging server
  --dry-run         Test "renew" or "certonly" without saving any certificates
to disk

manage certificates:
    certificates    Display information about certificates you have from Certbot
    revoke          Revoke a certificate (supply --cert-path)
    delete          Delete a certificate

manage your account with Let's Encrypt:
    register        Create a Let's Encrypt ACME account
  --agree-tos       Agree to the ACME server's Subscriber Agreement
   -m EMAIL         Email address for important account notifications

More detailed help:

  -h, --help [TOPIC]    print this message, or detailed help on a topic;
                        the available TOPICS are:

   all, automation, commands, paths, security, testing, or any of the
   subcommands or plugins (certonly, renew, install, register, nginx,
   apache, standalone, webroot, etc.)
-------------------------------------------------------------------------------

こんな感じで実行すれば取り敢えず大丈夫かな

dry-run試行

certbot certonly --dry-run --webroot --http-01-port 8080 -w <DocumentRoot> -d <Domain> -m <Mail Address>

HTTPのportを変更していたので、http-01-portオプション指定したのだが、確かにcertbot は 8080でポート確認しているのに

アクセスしてきてるのがデフォルトの 80 とか

なんだ、このバカ仕様


これじゃPort変更しているサイトは全てダメなんじゃないかと思ったり

という所で一旦終了


なんか素直に安い証明書調達したほうが楽な気がしてきた _no

なんだけど、mydns.jpだとそういうわけにもいかないしなあ


追記

サイトによっては、Nginx側にサーバーチェック用ディレクトリ設定を入れる必要があると記載がある

    location ^~ /.well-known/acme-challenge/ {
      root /usr/share/nginx/html/.well-known;

certbot実行中にディレクトリ作成されるのは確認していたけど、アクセス権の絡みで失敗していたんかな??

改めて後日検証してみるか

[][][]CentOS 7 + Nginx + rep2 で HTTPS & HTTP/2化 (SSLなう!編)

そんなわけで、取り敢えず SSLなう!証明書は取得して

NginxHTTPS & HTTP/2化まではやってみようかと


MyDNS.jpは、2018/9/1時点ではWebUIからの_acme-challengeレコード投入に対応しなくなった模様

(正確には、投入できるけど検索できない)

代わりにphpスクリプト提供

-> http://d.hatena.ne.jp/TKX/20180902#p1

MyDNS.jpDNS情報を変更する事は可能なので、DNS認証(dns-01)でドメイン確認までは実施


mydns.jpのコントロールパネルから "_acme-challenge"のホスト名で、TXTレコード作成

# dig @8.8.8.8 _acme-challenge.<domain> any

を何回か実行して結果が帰ってきたら、確認ボタンを押下すればOK


自分のServerで

# openssl genrsa 2048 > server_private_key.pem

を実行して、サーバー秘密鍵を生成してサイトに貼り付ければ

サーバー証明書 / 中間証明書 / フル証明書

が生成/発行される


Nginxでは使用するのは、サーバー秘密鍵とフル証明書の2つ

/etc/nginx/ssl 以下に格納


DH鍵交換に使用するパラメータファイル作成する

Nginx 1.12.x以降はこのパラメータファイルとconfへの指定必須になった

# openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem


nginxドメイン毎の confファイルは以下な感じで (FastCGI絡みもSSL設定の追記必要

server {
    listen       <Port> ssl http2;
    server_name  <Domain>;

    ssl_certificate /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/server_private_key.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets on;

    # modern configuration. tweak to your needs.
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
    ssl_prefer_server_ciphers on;

    # DH Key Parameter
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    # add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        root   /var/www/html;
        index  index.html index.htm index.php;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /var/www/html;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        root           /var/www/html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        include        fastcgi_params;
        fastcgi_param  HTTPS             on;
        fastcgi_param  SSL_PROTOCOL      $ssl_protocol;
        fastcgi_param  SSL_CIPHER        $ssl_cipher;
        fastcgi_param  SSL_SESSION_ID    $ssl_session_id;
        fastcgi_param  SSL_CLIENT_VERIFY $ssl_client_verify;
        fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #    deny  all;
    #}
}

基本的に、HTTPポートは開放せず HTTPSポートのみ空ける方針なので


# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

configチェックして問題なければ

# systemctl reload nginx

Reloadして再構成して終了


後は、ブラウザーから https://<Domain>でアクセスして緑色の鍵マークが表示されればOK


追記 : SSL CipherSuiteの指定については

Mozilla SSL Configuration Generatorを参考に構成しています


余談

Qualys SSL Labs の SSL Server Testは、デフォルトの 443しか対応していないようで

Port指定しても "Port 8443 is not supported"といった感じ 

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/TKX/20180603
1185068
サーチ:
キーワード:
Amazon.co.jpアソシエイト