それなりに適当にやってます

なんとなくそれっぽいメモとか備忘録とか適当に。 2018年5月にブログ移転しました。 古い記事は未整理です。

NginxのSSL設定メモ

Let's Encrypt の無料SSL証明書を取得したので、次にNginxのSSL設定を強化してみた。

ちなみにこのブログは CloudFlare を利用しているので勝手にSSL化されてる^^;

参考URL

設定

以下、実際に入れた設定+コメント すでに動作しているNginxに追記する形で設定を入れた。

2048 bit のDHパラメータの生成

# mkdir /etc/nginx/ssl# openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Nginx の設定

# cp /etc/nginx/nginx.conf{,.`date +%Y%m%d`}# vi /etc/nginx.conf...    server {        listen 80;        listen 443 ssl;        server_name example.com;        server_tokens off;        access_log  /var/log/nginx/example.com.access.log  main;        #ssl on;   # listenで有効化済み        ## 対応するプロトコルの明示、古いブラウザは知らない。        ssl_protocols TLSv1.2;        ## 対応する暗号の明示        ssl_prefer_server_ciphers on;        ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED';        ## DHパラメータの指定(既定の1024bitから2048bitへ変更)        ssl_dhparam /etc/nginx/ssl/dhparam.pem;        ## OCSP Stanpling の有効化        ssl_stapling on;        ## サーバサイドで OCSP レスポンスを確認する        ssl_stapling_verify on;        ## 名前解決で利用するDNSサーバの指定        resolver 8.8.8.8 8.8.4.4 valid=300s;        resolver_timeout 5s;        ## 認証局の証明書を指定        ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;        ## HSTSの有効化        add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';        ## SSLセッションのキャッシュ        ssl_session_cache  shared:SSL:10m;        ssl_session_timeout  10m;        ## Let's Encrypt で取得した証明書        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;        location / {          root /var/www/html;        }    }...

確認と再起動

# nginx -t -c /etc/nginx/nginx.confnginx: the configuration file /etc/nginx/nginx.conf syntax is ok  nginx: configuration file /etc/nginx/nginx.conf test is successful  # service nginx restart

テスト

定番のSSL Server Testで確認

(´∀`∩)

以上