前書き

TLS、またはトランスポートレイヤーセキュリティ、およびその前身であるセキュアソケットレイヤーの_SSL_は、保護された暗号化されたラッパーで通常のトラフィックをラップするために使用されるWebプロトコルです。

このテクノロジーを使用すると、サーバーは、外部の第三者によってメッセージが傍受される可能性なしに、サーバーとクライアント間で安全にトラフィックを送信できます。 証明書システムは、ユーザーが接続先のサイトのIDを確認するのにも役立ちます。

このガイドでは、Debian 10サーバー上のNginx Webサーバーで使用する自己署名SSL証明書を設定する方法を示します。

前提条件

  • 1台のDebian 10サーバー、 `+ sudo +`特権を持つ非ルートユーザー、およびアクティブなファイアウォール。 これらの設定を行うには、https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-10 [Debian 10の初期サーバー設定]チュートリアルに従ってください。

  • Debian 10にNginxをインストールする方法に従って、サーバーにインストールされたNginx。

ステップ1-SSL証明書の作成

TLS / SSLは、公開証明書と秘密キーの組み合わせを使用して機能します。 SSLキーはサーバー上で秘密にされ、クライアントに送信されるコンテンツを暗号化するために使用されます。 SSL証明書は、コンテンツを要求するすべてのユーザーと公開共有されます。 関連するSSLキーで署名されたコンテンツを復号化するために使用できます。

単一のコマンドでOpenSSLを使用して自己署名キーと証明書のペアを作成できます。

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt

一連の質問が表示されます。 それを説明する前に、発行しているコマンドで何が起こっているのか見てみましょう。

  • * openssl *:これは、OpenSSL証明書、キー、およびその他のファイルを作成および管理するための基本的なコマンドラインツールです。

  • * req *:このサブコマンドは、X.509証明書署名要求(CSR)管理を使用することを指定します。 「X.509」は、鍵と証明書の管理のためにSSLおよびTLSが準拠している公開鍵インフラストラクチャ標準です。 新しいX.509証明書を作成するため、このサブコマンドを使用しています。

  • * -x509 *:これは、通常のように証明書署名要求を生成するのではなく、自己署名証明書を作成することをユーティリティに伝えることにより、以前のサブコマンドをさらに変更します。

  • * -nodes *:これは、パスフレーズで証明書を保護するオプションをスキップするようOpenSSLに指示します。 Nginxは、サーバーの起動時にユーザーの介入なしにファイルを読み取ることができる必要があります。 パスフレーズは、再起動のたびにパスフレーズを入力する必要があるため、これが発生するのを防ぎます。

  • * -365日*:このオプションは、証明書が有効と見なされる期間を設定します。 ここで1年間設定しました。

  • * -newkey rsa:2048 *:これは、新しい証明書と新しいキーを同時に生成することを指定します。 前の手順で証明書に署名するために必要なキーを作成しなかったため、証明書と共に作成する必要があります。 `+ rsa:2048 +`部分は、2048ビット長のRSAキーを作成するように指示します。

  • * -keyout *:この行は、作成中の生成された秘密鍵ファイルを配置する場所をOpenSSLに指示します。

  • * -out *:これは、OpenSSLに、作成する証明書を配置する場所を伝えます。

前述したように、これらのオプションはキーファイルと証明書の両方を作成します。 証明書に情報を正しく埋め込むために、サーバーに関するいくつかの質問があります。

プロンプトに適切に記入します。 最も重要な行は、「+ Common Name」を要求する行です(例: サーバーのFQDNまたは自分の名前)+ `。 サーバーに関連付けられているドメイン名またはサーバーのパブリックIPアドレスを入力する必要があります。

プロンプト全体は次のようになります。

OutputCountry Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

作成したファイルは両方とも、 `+ / etc / ssl +`ディレクトリの適切なサブディレクトリに配置されます。

OpenSSLを使用している間、クライアントとhttps://en.wikipedia.org/wiki/Forward_secrecy[Perfect Forward Secrecy]の交渉に使用される強力なDiffie-Hellmanグループも作成する必要があります。

これを行うには、次のように入力します。

sudo openssl dhparam -out /etc/nginx/dhparam.pem 4096

これにはしばらく時間がかかりますが、完了すると、「+ / etc / nginx / dhparam.pem +」に強力なDHグループが作成され、設定で使用できるようになります。

ステップ2-SSLを使用するためのNginxの構成

`+ / etc / ssl +`ディレクトリの下にキーと証明書ファイルを作成しました。 これらを利用するには、Nginxの設定を変更するだけです。

構成をいくつか調整します。

  1. SSLキーと証明書ファイルの場所を含む構成スニペットを作成します。

  2. 将来的に任意の証明書で使用できる強力なSSL設定を含む構成スニペットを作成します。

  3. Nginxサーバーブロックを調整してSSLリクエストを処理し、上記の2つのスニペットを使用します。

このNginxの設定方法により、サーバーブロックをクリーンに保ち、共通の設定セグメントを再利用可能なモジュールに配置できます。

SSLキーと証明書を指す構成スニペットの作成

最初に、 `+ / etc / nginx / snippets +`ディレクトリに新しいNginx設定スニペットを作成しましょう。

このファイルの目的を適切に区別するために、 `+ self-signed.conf +`と呼びましょう。

sudo nano /etc/nginx/snippets/self-signed.conf

このファイル内で、 `+ ssl_certificate `ディレクティブを証明書ファイルに設定し、 ` ssl_certificate_key +`を関連するキーに設定する必要があります。 ファイルに次の行を追加します。

/etc/nginx/snippets/self-signed.conf

ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

これらの行を追加したら、ファイルを保存して閉じます。

強力な暗号化設定を使用した構成スニペットの作成

次に、SSL設定を定義する別のスニペットを作成します。 これにより、Nginxに強力なSSL暗号スイートが設定され、サーバーのセキュリティを維持するのに役立ついくつかの高度な機能が有効になります。

設定するパラメーターは、将来のNginx構成で再利用できるため、ファイルに一般的な名前を付けます。

sudo nano /etc/nginx/snippets/ssl-params.conf

Nginx SSLを安全にセットアップするために、https://cipherli.st [* Cipherli.st *]サイトでRemy van Elstの推奨事項を使用します。 このサイトは、一般的なソフトウェアの使いやすい暗号化設定を提供するように設計されています。

この目的のために、提供された設定全体をコピーできます。 少し修正するだけです。

まず、アップストリームリクエストに優先DNSリゾルバを追加します。 このガイドではGoogleを使用します。

次に、厳密なトランスポートセキュリティヘッダーを設定する行をコメント化します。 この行のコメントを外す前に、https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security [HTTP Strict Transport Security、またはHSTS]、特にhttps://hstspreload.org/ [ 「プリロード」機能]。 HSTSをプリロードするとセキュリティが向上しますが、誤って有効にした場合や誤って有効にした場合、広範囲に及ぶ結果になる可能性があります。

以下を `+ ssl-params.conf +`スニペットファイルにコピーします。

/etc/nginx/snippets/ssl-params.conf

ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/dhparam.pem;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
ssl_session_timeout  10m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# Disable strict transport security for now. You can uncomment the following
# line if you understand the implications.
# add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

自己署名証明書を使用しているため、SSLステープルは使用されません。 Nginxは警告を出力しますが、正常に動作し続けます。

完了したら、ファイルを保存して閉じます。

SSLを使用するためのNginx構成の調整

スニペットができたので、Nginxの構成を調整してSSLを有効にできます。

このガイドでは、https://www.digitalocean.com/community/tutorials/how-で概説されているように、 `+ / etc / nginx / sites-available `ディレクトリでカスタムサーバーブロック設定ファイルを使用していると仮定します。 to-install-nginx-on-debian-10#step-5-%E2%80%93-setting-up-server-blocks [ステップ5] Nginxのインストールに関する前提条件チュートリアルの。 この例では、 ` / etc / nginx / sites-available / +`を使用します。 必要に応じて、構成ファイル名/ドメイン名を置き換えます。

先に進む前に、現在の構成ファイルをバックアップしましょう。

sudo cp /etc/nginx/sites-available/ /etc/nginx/sites-available/.bak

次に、構成ファイルを開いて調整を行います。

sudo nano /etc/nginx/sites-available/

前提条件に従った場合、サーバーブロックは次のようになります。

/ etc / nginx / sites-available / your_domain

server {
   listen 80;
   listen [::]:80;

   root /var/www//html;
   index index.html index.htm index.nginx-debian.html;

   server_name  www.;

   location / {
           try_files $uri $uri/ =404;
   }

}

ファイルの順序は異なる場合があり、 + root +`ディレクティブと `+ index +`ディレクティブの代わりに、 `+ location、` + proxy_pass`、またはその他のカスタム構成ステートメントを使用できます。 `+ listen `ディレクティブを更新し、SSLスニペットを含めるだけでよいため、これは問題ありません。 この既存のサーバーブロックを変更して、ポート ` 443 `でSSLトラフィックを処理し、ポート ` 80 `で応答する新しいサーバーブロックを作成して、トラフィックをポート ` 443 +`に自動的にリダイレクトします。

既存の設定ファイルで、2つの `+ listen `ステートメントを更新してポート ` 443 +`とSSLを使用し、前の手順で作成した2つのスニペットファイルを含めます。

/ etc / nginx / sites-available / your_domain

server {
   listen ;
   listen [::]:;



   root /var/www//html;
   index index.html index.htm index.nginx-debian.html;

   server_name  www.;

   . . .
}

次に、最初のブロックの閉じ括弧( +} +)の後に、構成ファイルに2番目のサーバーブロックを貼り付けます。

/ etc / nginx / sites-available / your_domain

. . .
server {
   listen 80;
   listen [::]:80;

   server_name  www.;

   return 302 https://$server_name$request_uri;
}

これは、ポート `+ 80 +`でリッスンし、HTTPSへのリダイレクトを実行する最低限の設定です。 編集が終了したら、ファイルを保存して閉じます。

ステップ3-ファイアウォールの調整

前提条件ガイドで推奨されているように、「+ ufw 」ファイアウォールを有効にしている場合、SSLトラフィックを許可するように設定を調整する必要があります。 幸いなことに、Nginxはインストール時にいくつかのプロファイルを ` ufw +`に登録します。

次のように入力すると、使用可能なプロファイルを確認できます。

sudo ufw app list

次のようなリストが表示されます。

OutputAvailable applications:
. . .
 Nginx Full
 Nginx HTTP
 Nginx HTTPS
. . .

次のように入力すると、現在の設定を確認できます。

sudo ufw status

前提条件に従った場合、次のようになります。つまり、WebサーバーへのHTTPトラフィックのみが許可されます。

OutputStatus: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
Nginx HTTP                 ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
Nginx HTTP (v6)            ALLOW       Anywhere (v6)

さらにHTTPSトラフィックを許可するには、「Nginx Full」プロファイルを許可してから、冗長な「Nginx HTTP」プロファイル許可を削除します。

sudo ufw allow 'Nginx Full'
sudo ufw delete allow 'Nginx HTTP'

ステータスは次のようになります。

sudo ufw status
OutputStatus: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
Nginx Full                 ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
Nginx Full (v6)            ALLOW       Anywhere (v6)

ファイアウォールを適切に構成したら、Nginx構成のテストに進むことができます。

ステップ4-Nginxの変更を有効にする

変更を行い、ファイアウォールを調整したので、Nginxを再起動して新しい変更を実装できます。

まず、ファイルに構文エラーがないことを確認する必要があります。 これを行うには、次のように入力します。

sudo nginx -t

すべてが成功すると、次のような結果が得られます。

Outputnginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate "/etc/ssl/certs/nginx-selfsigned.crt"
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

最初の警告に注意してください。 前述のように、この特定の設定では、自己署名証明書でSSLステープルを使用できないため、警告がスローされます。 これは予想通りであり、サーバーは接続を正しく暗号化できます。

出力が上記と一致する場合、構成ファイルに構文エラーはありません。 Nginxを安全に再起動して、変更を実装できます。

sudo systemctl restart nginx

Nginxの構成をテストしたら、セットアップのテストに進むことができます。

ステップ5-暗号化のテスト

これで、SSLサーバーをテストする準備が整いました。

ウェブブラウザを開き、アドレスバーに「+ https:// +」と入力してからサーバーのドメイン名またはIPを入力します。

https://

作成した証明書はブラウザの信頼できる認証局のいずれかによって署名されていないため、恐らく以下のような恐ろしい警告が表示されます(Google Chromeを使用している場合は以下が表示されます):

image:https://assets.digitalocean.com/articles/nginx_ssl_1604/self_signed_warning.png [Nginx自己署名証明書の警告]

これは予想される正常な動作です。 証明書の暗号化の側面のみに関心があり、ホストの信頼性の第三者検証には関心がありません。 「詳細」をクリックし、提供されたリンクをクリックしてホストに進みます。

image:https://assets.digitalocean.com/articles/nginx_ssl_1604/warning_override.png [Nginx自己署名オーバーライド]

あなたのサイトに連れて行く必要があります。 ブラウザのアドレスバーを見ると、「x」が付いたロックが表示されます。 この場合、これは単に証明書を検証できないことを意味します。 接続を暗号化しています。

HTTPコンテンツをHTTPSに自動的にリダイレクトする2つのサーバーブロックでNginxを構成した場合、リダイレクトが正しく機能するかどうかも確認できます。

http://

これが同じアイコンになる場合、これはリダイレクトが正しく機能したことを意味します。

手順6-永続的なリダイレクトへの変更

リダイレクトが正しく機能し、暗号化されたトラフィックのみを許可したい場合は、Nginxの設定を変更してリダイレクトを永続的にする必要があります。

サーバーブロック構成ファイルを再度開きます。

sudo nano /etc/nginx/sites-available/<^>your_domain^>

「+ return 302+」を見つけて、「+ return 301+」に変更します。

/ etc / nginx / sites-available / your_domain

   return  https://$server_name$request_uri;

ファイルを保存して閉じます。

構成に構文エラーがないか確認してください。

sudo nginx -t

準備ができたら、Nginxを再起動してリダイレクトを永続化します。

sudo systemctl restart nginx

結論

クライアント接続に強力な暗号化を使用するようにNginxサーバーを構成しました。 これにより、リクエストを安全に処理できるようになり、外部の関係者がトラフィックを読み取れなくなります。