Home » » セットアップでUbuntu 16.04のNginxで暗号化できる

セットアップでUbuntu 16.04のNginxで暗号化できる

Let's Encryptは、自動クライアントで無料のSSL証明書を提供する認証局(CA)です。Let's Encrypt SSL証明書を使用すると、Webサイトと訪問者間のトラフィックを暗号化できます。プロセス全体がシンプルで、更新を自動化できます。また、証明書のインストールまたは更新によってダウンタイムが発生することはありません。

このチュートリアルでは、Certbotを使用してSSL証明書を取得、インストールし、自動的に更新します。CertbotはElectronic Frontier Foundation(EFF)によって積極的に開発されており、Let's Encryptの推奨クライアントです。

前提条件

  • Ubuntu 16.04を実行するVultrインスタンス
  • サーバーを指す登録済みドメイン名
  • Nginx

Certbotをインストールする

Let's Encrypt SSL証明書を取得するには、サーバーにCertbotクライアントをインストールする必要があります。

リポジトリを追加します。ENTER受け入れるように求められたら、キーを押します。

add-apt-repository ppa:certbot/certbot

パッケージリストを更新します。

apt-get update

CertbotとCertbotのNginxパッケージをインストールして続行します。

apt-get -y install python-certbot-nginx

Nginxの構成

CertbotはNginxのSSLを自動的に構成しますが、そのためには、Nginx構成ファイルでサーバーブロックを見つける必要があります。これはserver_name、構成ファイルのディレクティブを、証明書を要求しているドメイン名と照合することによって行われます。

デフォルトの構成ファイルを使用して/etc/nginx/sites-available/defaultいる場合は、などのテキストエディターでファイルを開きnanoserver_nameディレクティブを見つけます。下線を_独自のドメイン名に置き換えます。

nano /etc/nginx/sites-available/default

設定ファイルを編集すると、server_nameディレクティブは次のようになります。この例では、ドメインがexample.comであり、example.comとwww.example.comの証明書を要求していると想定しています。

server_name example.com www.example.com;

編集の構文を確認して続行します。

nginx -t

構文が正しい場合は、Nginxを再起動して新しい構成を使用します。エラーメッセージが表示された場合は、構成ファイルを再度開き、タイプミスがないか確認してから、再試行してください。

systemctl restart nginx

Let's Encrypt SSL証明書の取得

次のコマンドは、証明書を取得します。Nginxの設定を編集して使用し、Nginxをリロードします。

certbot --nginx -d example.com -d www.example.com

追加のドメインのSSL証明書をリクエストすることもできます。「-d」オプションを何度でも追加できます。

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Let's Encryptから証明書を自動的にインストールせずに取得するだけの場合は、次のコマンドを使用できます。これにより、Nginx構成が一時的に変更されて証明書が取得され、証明書がダウンロードされると元に戻ります。

certbot --nginx certonly -d example.com -d www.example.com

Certbotを初めて実行する場合は、電子メールアドレスを入力して利用規約に同意するように求められます。このメールアドレスは、更新およびセキュリティ通知に使用されます。メールアドレスを入力すると、CertbotはLet's Encryptに証明書をリクエストし、チャレンジを実行して、問題のドメインを制御していることを確認します。

CertbotがSSL証明書を取得できる場合は、HTTPS設定の構成方法を尋ねられます。保護されていない接続を介してWebサイトにアクセスする訪問者をリダイレクトするか、保護されていない接続を介してアクセスを許可することができます。これにより、訪問者がSSLで保護されたバージョンのWebサイトにのみアクセスできることが保証されるため、通常はこれを有効にしてください。選択肢を選択して、を押しENTERます。

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

最後に、Certbotはプロセスが成功したことと、証明書が保存されている場所を確認します。これで証明書がダウンロードおよびインストールされました。

更新の自動化

Let's Encryptは無料の認証局であり、ユーザーに更新プロセスの自動化を促すため、証明書は90日間のみ有効です。証明書ボットは証明書の自動更新を処理します。これは、をcertbot renew介して1日に2回実行することによって行われsystemdます。

このコマンドを実行すると、自動更新が機能していることを確認できます。

certbot renew --dry-run

次のコマンドを実行して、いつでも手動で証明書を更新することもできます。

certbot renew

強化された構成

上記のコマンドは、ほとんどの場合に適した構成でSSL証明書を取得してインストールします。Webサイトに高度なセキュリティ対策を実装する場合は、次のコマンドを使用して証明書を取得できます。

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096代わりに、より安全な2048ビット鍵、4096ビットのRSAキーを使用します。これの欠点は、キーが大きくなると、パフォーマンスのオーバーヘッドがわずかに発生することです。さらに、古いブラウザとデバイスは、4096ビットのRSAキーをサポートしていない場合があります。

--must-staple証明書にOCSPをしなければならないのステープルの拡張子を追加し、OCSPのステープル用のnginxのを構成します。この拡張機能により、ブラウザーは証明書が取り消されておらず、信頼できることを確認できます。ただし、すべてのブラウザがこの機能をサポートしているわけではありません。


Tags: #Linux Guides #Security #Server Apps #Ubuntu

Leave a Comment

ヘルスケア2021における人工知能の影響

ヘルスケア2021における人工知能の影響

ヘルスケアにおけるAIは、過去数十年から大きな飛躍を遂げました。したがって、ヘルスケアにおけるAIの未来は、日々成長を続けています。

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

最近、Appleは問題を修正するための補足アップデートであるmacOS Catalina 10.15.4をリリースしましたが、このアップデートにより、Macマシンのブリックにつながる問題がさらに発生しているようです。詳細については、この記事をお読みください

原子力が必ずしも悪ではないことを証明する5つの例

原子力が必ずしも悪ではないことを証明する5つの例

原子力は、過去の出来事のために私たちが決して尊重しないことを常に軽蔑していますが、それは必ずしも悪ではありません。詳細については、投稿をお読みください。

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか?

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか?

これを読んで、人工知能が小規模企業の間でどのように人気を博しているか、そして人工知能がどのように成長し、競合他社に優位に立つ可能性を高めているかを理解してください。

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか?

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか?

私たちのコンピューターは、ジャーナリングファイルシステムと呼ばれる組織化された方法ですべてのデータを保存します。これは、検索を押すとすぐにコンピューターがファイルを検索して表示できるようにする効率的な方法です。https://wethegeek.com/?p = 94116&preview = true

ビッグデータは人工知能をどのように変えていますか?

ビッグデータは人工知能をどのように変えていますか?

ビッグデータと人工知能は流行語ですが、それらがどのように相互に関連しているか知っていますか?さて、この記事を最後まで読んで、同じことを知ってください。

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartは、PHP、jQuery、およびHTML 5で記述された無料のオープンソースのショッピングカートプラットフォームです。シンプルで軽量、使いやすいeコマースソフトウォー

DebianでNFS共有をセットアップする

DebianでNFS共有をセットアップする

NFSはネットワークベースのファイルシステムであり、コンピューターはコンピューターネットワークを介してファイルにアクセスできます。このガイドでは、NFを介してフォルダーを公開する方法について説明します

Fedora 28にMatomo Analyticsをインストールする方法

Fedora 28にMatomo Analyticsをインストールする方法

別のシステムを使用していますか?Matomo(旧Piwik)は、Google Analyticsのオープンな代替手段であるオープンソースの分析プラットフォームです。Matomoのソースはoでホストされています

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

HTTPライブストリーミング(HLS)は、Apple Inc.によって実装された非常に堅牢なストリーミングビデオプロトコルです。HLSは、ファイアウォール、プロキシ、