CentOS一覧

サーバ証明書再発行

最近、再発行処理したばっかりの気もするが、また再発行が必要とのこと。

■ご連絡日 [2018-06-27]
コモンネーム:(moooi.jp)
———————————————————————-
本メールは、デジサート社(旧シマンテック社・ジオトラスト社)発行のSSL
証明書をご利用いただき、再発行対象の証明書をお持ちの方へお送りして
おります。
お客様による【手続きが必要】なご案内となりますので、必ずご確認ください。
———————————————————————-
平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
さて、以前弊社にてご購入いただきましたコモンネームのSSL証明書について、発行元より下記ブラウザにて証明書の警告が表示され、サイトの閲覧に支障をきたす恐れがある旨、連絡がございましたため再発行手続きをお願いしたくご案内申し上げます。

平日は作業する元気ないので、本日実施。今回は、期間の更新もないかわりCSR再作成しなくてもよいらしいのでサクッと完了。

証明書ダウンロード後は、中間CA証明書インストールしてnginxをリスタート。SSL TESTもやって問題なかったので、多分大丈夫だろう。


HTTP/2対応した筈なのにHTTP1.1になってしまう件

自宅の端末で、せっかく設定したHTTP/2が有効にならない。いろいろ検索すると、下記の情報にたどりついた。

対応しているはずなのに、なぜかHTTP/2で通信できない原因

ESETのファミリーセキュリティ等、いわゆるウィルス対策ソフトが原因の模様。

ウチでも使っているよ、ソレー!

Twitter等の大手サイトだと問題なくHTTP2になっているので、端末側原因というよりサーバ側の設定と思っていたが…。

一部のSSLサイト(「https://」で始まるWebページ)が表示できない

フィルタリングモードを対話モードにする事で、ブロック対象となった場合は許可するか聞いてくるようで、必要に応じて許可してほしいとのアナウンス。

ブロックではなくHTTP/2が無効化されているだけだったので、特にポップアップ等もあがることなく、対話モードにすることでHTTP/2が有効になった。

心当たりはないが、ここのサイトと同じRapidSSLの証明書がブロックされていたので、これが怪しい。証明書の発行元でブロックされるのか、それとも別の原因でブロックされたので同じ証明書の発行元も同じくブロックされたのか。

 

 

 


nginxでsslの設定評価をA+にするメモ

間違った中間CA証明書をバンドルして運用していた事に気づいたので、その修正とともにNginxのHTTPS設定について見直した。HTTPS運用する上で事前に実施していたのは、下記くらいか。

  • RapidSSLで外部認証局の証明書を取得
  • RapidSSLの場合は、中間CA証明書もサーバ証明書にバンドルしておく
  • 取得した証明書はワイルドカード(マルチドメイン)対応でないため、バーチャルホストではなく証明書のドメインのサブディレクトリにコンテンツを変更する
  • SSL等の古いプロトコルは禁止しTLSのみにする

SSLv1-v3の設定はかなりハイリスクのため、これらを不許可にするだけでA-からスタートできるようだ。実質変更したのは、CipherListの変更、HSTSの設定、dhparamの設定くらい。

証明書+SSL設定の確認方法

SSL Server Test

上記サイトで確認したいホスト名をいれて確認が可能。

何度か実行し、赤く表示されているWeekポイントを修正する事で、最終的にはA+と判定された。暗号強度をあげれば、CipherStrengthあたりはもう少しあがるハズだが、落とし所としてはこのあたりだろう。

赤字は修正が好ましい指摘事項、緑は推奨設定事項のようなので基本的には赤字を潰していくように設定を変更していけばよい。まともな証明書を使う限り、大きく改善とみなされるのは、SSL不許可とStrict-Transport-Securityの設定のようだが、強制的にhttpsにリダイレクトされるためコンテンツ側の対応が必要だったり、ブラウザ側での例外設定ができなかったり等の弊害もあるので注意したい。

設定内容を変更後、サイドSSL Server Testを実施したい場合は結果画面より、clear cacheを選ぶとよい。

ちなみにテストでは、CAAレコードの追加がしていないと指摘されたため対応してみたが、特に減点対処とも加点対象ともならないようである。

DNSはホスティングを利用しているので、さくらのコンパネから追加してみた。

登録する値は、証明書の発行元によって変わるので注意。rapidSSLの場合はsymantec.comを下記のように登録すればいいようだ。

0 issue "symantec.com"

テスト結果およびNginxの関連ドキュメントを参照し設定した最終的な、SSLのバーチャルホスト部の設定はこんな感じ。

/etc/conf.d/ssl.conf
Server {

    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name moooi.jp;
    root /www/html/;

    add_header Strict-Transport-Security 'max-age=31536000';

    ssl_certificate	 /etc/nginx/cert/server.crt;
    ssl_certificate_key  /etc/nginx/cert/server.key;
    ssl_dhparam /etc/nginx/dhparam.pem;

    ssl_session_cache shared:le_nginx_SSL:1m;
    ssl_session_timeout 1440m;

    ssl_protocols TLSv1.2;

    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:!MD5;

    client_max_body_size 25M;

}
参考にした記事

HTTPS on Nginx: From Zero to A+ (Part 1)[原文] [日本語翻訳版]

HTTPS on Nginx: From Zero to A+ (Part 2)[原文] [日本語翻訳版]


CentOS6.x系でmySQLの最新バージョンを使う方法

centOS 6.9のyumでインストールしたmysqlを5.7にあげる作業メモ

データベースのバックアップ。

$ sudo cp -aR /var/lib/mysql/ /work/db_bk/

dumpデータもとっておく。

$ mysqldump --single-transaction -u root -p -x --all-databases > dump_yyyymmdd.sql
Enter password: {root_password}

削除する前にパッケージ一覧を出力してから、現行の古いパッケージは一括削除する。

$ sudo rpm -qa | grep mysql
$ sudo yum remove mysql*

公式ページよりRPMのURLを確認して、インストール。
ユーザ登録が求められるが急いでいるときは、”No thanks, just start my download.”のリンクから落とせる。

$ sudo yum install https://dev.mysql.com/get/mysql57-community-release-el6-11.noarch.rpm
$ sudo yum install mysql-community-server

既存のDBがある場合は、DBのアップデートも必要。セーフモードで起動し、DBのアップデートをおこなう。

$ /usr/bin/mysqld_safe --skip-grant-tables &
$ mysql_upgrade -u root -p 
[mysqlのrootパスワード]

Upgrade process completed successfully.
Checking if update is needed.

不足パッケージがあれば、個別に追加でインストールする。


CentOS6.XでHTTP/2のためにnginxを設定

centOS6.xはALPN対応パッケージがないので、自力でコンパイル&インストールする。

事前にやること

現在のパッケージインストールしたnginxのオプションを控えておく。

$sudo nginx -V

nginx version: nginx/1.12.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC) 
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments:
 --prefix=/etc/nginx
 --sbin-path=/usr/sbin/nginx
 --modules-path=/usr/lib64/nginx/modules
 --conf-path=/etc/nginx/nginx.conf
 --error-log-path=/var/log/nginx/error.log
 --http-log-path=/var/log/nginx/access.log
 --pid-path=/var/run/nginx.pid
 --lock-path=/var/run/nginx.lock
 --http-client-body-temp-path=/var/cache/nginx/client_temp 
 --http-proxy-temp-path=/var/cache/nginx/proxy_temp 
 --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp 
 --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp 
 --http-scgi-temp-path=/var/cache/nginx/scgi_temp 
 --user=nginx
 --group=nginx
 --with-compat
 --with-file-aio
 --with-threads 
 --with-http_addition_module
 --with-http_auth_request_module 
 --with-http_dav_module
 --with-http_flv_module
 --with-http_gunzip_module 
 --with-http_gzip_static_module
 --with-http_mp4_module
 --with-http_random_index_module 
 --with-http_realip_module
 --with-http_secure_link_module
 --with-http_slice_module 
 --with-http_ssl_module
 --with-http_stub_status_module 
 --with-http_sub_module
 --with-http_v2_module
 --with-mail
 --with-mail_ssl_module 
 --with-stream
 --with-stream_realip_module
 --with-stream_ssl_module 
 --with-stream_ssl_preread_module

OpenSSL1.0.1系のためALPNに対応した1.0.2系の最新版に変える。

パッケージアンインストールすると、現在の設定ファイル等も削除されてしまう場合があるので、/etc/nginx配下、/etc/inid.dの起動スクリプトをバックアップする。

$ mkdir ~/backup
$ cd ~/backup
$ sudo cp -r /etc/nginx .
$ sudo cp /etc/init.d init_nginx

コンパイル

作業ディレクトリでopensslの最新版とnginxの最新版をダウンロードし、展開する。

$ wget https://www.openssl.org/source/openssl-1.0.2m.tar.gz 
$ tar zxvf openssl-1.0.2m.tar.gz 
$ wget https://nginx.org/download/nginx-1.13.7.tar.gz
$ wget zxvf nginx-1.13.7.tar.gz

コンパイルオプションは、各種技術系サイトの情報をベースに、設定パスやユーザ名等は極力、パッケージ版のものを踏襲するようにして、設定ファイル等の変更が発生しないようにしている。

$ cd nginx-1.13.7
$ ./configure  \
   --prefix=/etc/nginx \
   --sbin-path=/usr/sbin/nginx \
   --conf-path=/etc/nginx/nginx.conf \
   --error-log-path=/var/log/nginx/error.log \
   --http-log-path=/var/log/nginx/access.log \
   --pid-path=/var/run/nginx.pid \
   --lock-path=/var/run/nginx.lock \
   --http-client-body-temp-path=/var/cache/nginx/client_temp \
   --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
   --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
   --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
   --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
   --user=nginx \
   --group=nginx \
   --with-http_ssl_module \
   --with-http_realip_module \
   --with-http_addition_module \
   --with-http_sub_module \
   --with-http_dav_module \
   --with-http_flv_module \
   --with-http_mp4_module \
   --with-http_gunzip_module \
   --with-http_gzip_static_module \
   --with-http_random_index_module \
   --with-http_secure_link_module \
   --with-http_stub_status_module \
   --with-http_auth_request_module \
   --with-threads \
   --with-stream \
   --with-stream_ssl_module \
   --with-http_slice_module \
   --with-mail \
   --with-mail_ssl_module \
   --with-file-aio \
   --with-http_v2_module \
   --with-ipv6 \
   --with-openssl=../openssl-1.0.2m/

–with-http_v2_module、–with-openssl=../openssl-1.0.2m/の指定必須。opensslは事前にコンパイル不要なので-with-opensslで指定するフォルダに展開しておけばよい。

足りないヘッダ等があれば、makeファイル作成時にエラーがでるのでxxx-devel等の該当パッケージをいれる。

$yum install pcre-devel
インストール、設定の戻し
$ make

ここまでエラーなく完了したら、nginxの既存パッケージをアンインストールして、コンパイルしたものをインストールする。

$ sudo yum remove nginx*
$ sudo make install

設定ファイルの書き戻し、ownerをnginx:nginxに戻しておく等。

$ cd ~/backup
$ sudo cp init_nginx /etc/inin.d/nginx
$ sudo cp -R nginx /etc/
$ sudo chown -R nginx:nginx /etc/nginx

ちゃんと反映されているか確認。

$ sudo nginx -V

nginx version: nginx/1.13.7
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC) 
built with OpenSSL 1.0.2m  2 Nov 2017
TLS SNI support enabled
configure arguments:
 --prefix=/etc/nginx
 --sbin-path=/usr/sbin/nginx
 --conf-path=/etc/nginx/nginx.conf
 --error-log-path=/var/log/nginx/error.log
 --http-log-path=/var/log/nginx/access.log
 --pid-path=/var/run/nginx.pid
 --lock-path=/var/run/nginx.lock
 --http-client-body-temp-path=/var/cache/nginx/client_temp
 --http-proxy-temp-path=/var/cache/nginx/proxy_temp
 --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
 --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
 --http-scgi-temp-path=/var/cache/nginx/scgi_temp
 --user=nginx
 --group=nginx
 --with-http_ssl_module
 --with-http_realip_module
 --with-http_addition_module
 --with-http_sub_module
 --with-http_dav_module
 --with-http_flv_module
 --with-http_mp4_module 
 --with-http_gunzip_module
 --with-http_gzip_static_module
 --with-http_random_index_module
 --with-http_secure_link_module
 --with-http_stub_status_module
 --with-http_auth_request_module
 --with-threads
 --with-stream
 --with-stream_ssl_module
 --with-http_slice_module
 --with-mail
 --with-mail_ssl_module
 --with-file-aio
 --with-http_v2_module
 --with-openssl=../openssl-1.0.2m/

あとは、起動して今までのコンテンツが動作している事を確認して完了。

$ service nginx start

tDiaryのログをファイルに書き出す

Webrickで動かしているtDiaryは、ログが標準出力に吐き出されて不便な事があるので、起動スクリプト側で/var/log配下に吐き出すようにした。
webrickからunicornにすれば、そもそも解決しそうだがとりあえず応急処置。

# chkconfig: - 60 1\5
# processname: tDiaryServer
# pidfile: /www/html/tdiary/tdiary.pid
# description: tDiary Server

RBENV_ROOT=/opt/rbenv/
PATH=$RBENV_ROOT:/sbin:/usr/sbin:/bin:/usr/bin
DESC="tDiary server"
NAME=tdiary
PIDFILE=$NAME.pid

TDIARY_PATH="/www/html/tdiary"

case "$1" in
 start)
  echo -n "Starting tDiary..."
  cd $TDIARY_PATH
 (/opt/rbenv/shims/bundle exec tdiary server -p 51980 >> /var/log/tdiary`date  +%Y%m%d`.log 2>&1) &
  ;;
 stop)
  echo -n "Stopping tDiary..."
  kill -9 `cat /www/html/tdiary/tdiary.pid`
  ;;
 restart)
  $0 stop
  $0 start
  ;;
 status)
  status -p `cat /www/html/tdiary/tdiary.pid` tdiary
  ;;
 *)

echo "Usage:$0 {start|stop|restart}"
exit 1;
;;

esac

webminをnginx+SSLでサブディレクトリで動かす

  • webminはrpm等で導入済とする
  • デフォルトポートは変更する。
  • SSLはnginx経由とする
  • https://example.com/webmin_subdirectory/でアクセスできるようにする

/etc/webmin/config

webprefix=/webmin_subdirectory
webprefixnoredir=0

/etc/webmin/miniserv.conf

port=25252
front_url=https://example.com/webmin_subdirectory/

/etc/nginx/conf.d/ssl.conf

server {
 listen 443;
 root /www/html/;
 server_name example.com;
 client_max_body_size 25M;
 ssl on;
 ssl_certificate	 /etc/nginx/cert/server.crt;
 ssl_certificate_key  /etc/nginx/cert/server.key;
 
#Webmin Setting

 location /webmin_subdirectory/ {
 proxy_redirect http://example.com:25252/ https://example.com/webmin_subdirectory/;
 proxy_pass http://127.0.0.1:25252/;
 proxy_read_timeout 3600s;
 proxy_set_header    X-Real-IP	$remote_addr;
 proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header    Host            $host;
 proxy_set_header X-Forwarded-Proto $scheme;
 }
}

nginx、Webminの再起動でhttps://example.com/webmin_subdirectory/でアクセス可能となる。


//追加