Let'sEncriptでhttps化してみました。

-
今更ながらなんですが、自分の独自ドメインのサイトをhttps化しておこうと思って
LetsEncryptの設定をぶち込んでみました。後は現時点で最適と思われる
セキュリティを設定しています。
最近はApacheよりNginXいじくるほうが多くなってきています。
特に意味はないですけど。で今回は外部のサーバなのでホスト設定済前提で
NginXのインストールからの作業になります。


◆大まかな手順
1.事前確認
・CPU数の確認
2.nginxインストール
(1)nginxサイトが配布するPGPキーを追加
(2)リポジトリを一覧に追加
(3)NginXインストール
・aptアップデート
・NginXインストール
・NginXバージョン確認
3.nginx設定
・設定ファイル編集(worker_process最適化とバナーを隠す)
・サイトのディレクトリ作成
・Git設定
3.Let'sEncryptionインストール
(1)Let'sEncryptionクライアントの入手
・Gitからのコピー
・初期設定
・TUIの設定
・証明書自動更新設定
(2)NginX設定
・PFS用PEMファイル作成
・設定ファイル編集
・nginx再起動


◆参考サイト
https://www.deep-deep.jp/blog_engineer/archives/3245
http://qiita.com/ksworks/items/cbc7b73c62c5e115d830
http://qiita.com/kieaiaarh/items/3455040597ee34c8c49e
http://gotagotagoat.hatenablog.com/entry/2014/02/19/Nginx%E3%81%A7%E8%87%AA%E5%AE%85%E3%82%B5%E3%83%BC%E3%83%90%E3%82%92%E6%A7%8B%E7%AF%89
http://server-setting.info/ubuntu/nginx-wordpress-ubuntu14.html
http://www.atmarkit.co.jp/ait/articles/1407/24/news003.html
http://www.sakc.jp/blog/archives/39442
https://ryuzi.wordpress.com/2011/10/03/nginx-%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%82%92%E9%9D%9E%E8%A1%A8%E7%A4%BA%E3%81%AB%E3%81%99%E3%82%8B/
http://qiita.com/kidach1/items/985efebba639713c562e
http://qiita.com/kidach1/items/985efebba639713c562e
http://qiita.com/hito3/items/0e539e82ee3c410cccf1
http://christina04.hatenablog.com/entry/2015/07/21/094631
http://qiita.com/hiroq/items/420424bc500d89fd1cc8
http://blog.kondoyoshiyuki.com/2012/12/09/setting-1-nginx-on-ubuntu-12-04/
http://yume-build.com/blog/archives/257
http://news.mynavi.jp/news/2010/03/09/013/
http://qiita.com/kieaiaarh/items/3455040597ee34c8c49e
http://qiita.com/utano320/items/36b6eac2bbd5bb5657f6
https://letsencrypt.jp/
http://qiita.com/sak_2/items/ff835b669c0a7e110b09
http://qiita.com/ww24/items/9fa19594b4e3a8eb9b6f
http://inside.pixiv.net/entry/2015/12/10/153114
http://yamano3201.hatenablog.jp/entry/2016/04/23/113528
http://postd.cc/https-on-nginx-from-zero-to-a-plus-part-1/
https://blog.kksg.net/posts/nginx-secure-ssl
http://qiita.com/harukasan/items/fe37f3bab8a5ca3f4f92
http://cameong.hatenablog.com/entry/2016/04/20/174412

◆細かい作業
1.事前確認
・CPU数の確認
パラメータ設定で使用する。
$ sudo grep processor /proc/cpuinfo | wc -l
2


2.nginxインストール
(1)nginxサイトが配布するPGPキーを追加
$ sudo curl http://nginx.org/keys/nginx_signing.key | sudo apt-key add

(2)リポジトリを一覧に追加
$ sudo sh -c "echo 'deb http://nginx.org/packages/ubuntu/ trusty nginx' >> /etc/apt/sources.list"
$ sudo sh -c "echo 'deb-src http://nginx.org/packages/ubuntu/ trusty nginx' >> /etc/apt/sources.list"

(3)NginXインストール
・パッケージリスト更新
$ sudo apt-get update
Ign http://jp.archive.ubuntu.com trusty InRelease
Get:1 http://jp.archive.ubuntu.com trusty-updates InRelease [65.9 kB]
~中略~
Hit http://security.ubuntu.com trusty-security/universe Translation-en
Fetched 4,162 kB in 6s (655 kB/s)
Reading package lists... Done

・NginXインストール
$ sudo aptitude install nginx
The following NEW packages will be installed:
  nginx
~中略~
$

・インストール後NginXバージョン確認
$ sudo nginx -v
nginx version: nginx/1.10.1

3.nginx設定
・設定ファイル編集(worker_process最適化とバナーを隠す)
$ sudo vi /etc/nginx/nginx.conf

※下記の内容で編集
user www-data;
worker_processes 2; ←2(CPUの数)に修正
pid /run/nginx.pid;

http {
        server_tokens off; ←追記
        ##


・サイトのディレクトリ作成
$ sudo mkdir -p /var/www
$ sudo mkdir -p /var/www/sitename

・Git設定
$ cd /var/www
$ sudo git init
$ git config --global user.name 'userName'
$ git config --global user.email 'your@hoge.com'
Initialized empty Git repository in /var/www/.git/
$ sudo git remote add -A
$ sudo git add index.html
$ sudo git commit -m 'first commit'
$ git push --set-upstream sitename master

3.Let'sEncryptionインストール
(1)Let'sEncryptionクライアントの入手
・Gitからのコピー
$ cd /usr/local
$ sudo git clone https://github.com/letsencrypt/letsencrypt
Cloning into 'letsencrypt'...
~中略~
Resolving deltas: 100% (28522/28522), done.
Checking connectivity... done.

・初期設定
$ cd letsencrypt/
$ ./letsencrypt-auto --help
Bootstrapping dependencies for Debian-based OSes...
~中略~
  all, automation, paths, security, testing, or any of the subcommands or
   plugins (certonly, install, register, nginx, apache, standalone, webroot,
   etc.)


・TUIの設定
$ ./letsencrypt-auto certonly --webroot-d sitename -d www.sitename --webroot-path /var/www/sitename
~中略~
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

TUI表示時に下記の手順に注意
※EMailアドレス入力
※Agreeで規約に同意する

・証明書自動更新設定
$ sudo su
# crontab -e

※下記のとおりコマンドを追記
00 05 01 * * /etc/init.d/nginx stop && /usr/local/letsencrypt/letsencrypt-auto renew --force-renew && /etc/init.d/nginx start


(2)NginX設定
・PFS用PEMファイル作成
$ sudo mkdir /etc/nginx/ssl
$ cd /etc/nginx/ssl
$ sudo openssl dhparam 2048 -out dhparam.pem
Generating DH parameters, 2048 bit long safe prime, generator 2
~中略~

・設定ファイル編集
$ sudo vi /etc/nginx/conf.d/default.conf

※下記のとおり編集
server {
        listen 80; # httpへのアクセスをhttpsへリダイレクトする
        listen [::]:80;
        server_name  sitename;
        if ($http_x_forwarded_proto != https) {
            return 301 https://$host$request_uri;
        }
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    ssl on;
    server_name  sitename.com;
    root   /var/www/sitename.com;
    index  index.html index.htm;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_certificate /etc/letsencrypt/live//sitename.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live//sitename.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;

    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains" always;

}


・nginx再起動
$ sudo service nginx configtest
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
$ sudo service nginx reload

コメント

コメントを投稿

このブログの人気の投稿

GASでGoogleDriveのサブフォルダとファイル一覧を出力する

-
 タイトルのまんまです。 以前、EXCELで似たようなこと をしていたのでGASではどうするのかなぁと思ってやってみました。まぁほとんど丸パクリです。とりあえず、また使うかもしれないので自分用にメモです。しかしGASでGoogleDriveのファイル一覧嘗め回そうとすると3分かかってしまう。数が多いと6分制限に引っかかるのでこれでは使えない。せいぜい100ファイルとか数が少ないところで使う分にはいいけどダイナミックな場合は何回かに分割してやらないと少し厳しいかもしれない。 ◆GAS //設定値取得 const SHEET_URL = SpreadsheetApp.getActiveSpreadsheet().getUrl(); const ss = SpreadsheetApp.openByUrl(SHEET_URL); const SETTING_SHEET = ss.getSheetByName('設定') const TARGET_FOLDER_ID = SETTING_SHEET.getRange('B2').getValue(); const SAVE_FOLDER_ID = SETTING_SHEET.getRange('B3').getValue(); const SAVE_FILE_NAME = SETTING_SHEET.getRange('B4').getValue(); const SAVE_SHEET_NAME = SETTING_SHEET.getRange('B5').getValue(); function writeSheet(values, labels, sheetUrl, sheetname, width) { /* スプレッドシートに書き出し */ try { if (values.length > 0) { // シートを追加する let spreadSheet = SpreadsheetApp.openByUrl(sheetUrl); let sheet = set_sheet(sheetUrl,sheetname); // 1行目だけヘッダ追加 let he...
続きを読む

証券外務員1種勉強(計算式暗記用メモ)

-
何を血迷ったのか 証券外務員 1種を受けてみようかと 思って 問題集 を回していたけれども、いまいち数式部分に 弱いところがあるので暗記してやろうと 重要そうな数式を集めてみました。まぁ正確性は低いかもしんないけど ひとまずは個人用でメモしています。 1.株式業務 (1) 権利落ち相場   権利落ち相場= 権利付相場 ÷ 分割比率  (2)採算株価   採算株価=希望利回り÷1株当たり配当年額  (3)1株当たりキャッシュフロー(PCFR)    PCFR = 発行済株式総数 ÷( 税引後純利益 + 減価償却費 )  (4) イールドスプレッド   イールドスプレッド=長期債利回りー 株式益回り  (5) EVITDA (金利・税金・償却前利益)   EVITDA=税引前利益+支払利息+減価償却費  (6) EV (企業価値)   EV= 時価総額 + 有利子負債 ー 現金預金 ー 短期有価証券  (7) EV/EVITDA倍率 (倍)   EV/EVITDA倍率=EV÷EVITDA  ◆株価成立参照    https://www.rakuten-sec.co.jp/web/domestic/stock/rule/agreed.html    http://money-magazine.org/%E6%A0%AA%E4%BE%A1%E3%81%AE%E6%B1%BA%E3%81%BE%E3%82%8A%E6%96%B9%E3%81%AE%E5%9F%BA%E7%A4%8E%E7%9F%A5%E8%AD%98/    https://kabusyo.com/keiken/q_baibai.html    https://ja.wikipedia.org/wiki/%E6%A0%AA%E4%BE%A1    http://kabukiso.com/basics/buy/ita.html 2.債券業務 (1) パリティ価格 (転換社債株式価値)   パリティ価格=(株価÷ 転換価格 )×100  (2) 乖離率 (%)   乖離率={(転換社債の時価ーパリティ価格)÷パリティ価格}×100  (3) 最終利回り (%)   最終利回り={利率+(償還価格ー購入価格)÷ 残存期間 <年>)}÷購入価格×...
続きを読む

マクロ経済学(IS-LM分析)

-
イメージ
危うく3日坊主になりそうでした。とりあえず今日は 「IS-LM分析」 です。 テキストでは 簡便4象限法 とかいうのの説明が多いです。なのでさっぱり わけわからん状態ですが、それなりに頑張ってみます。 1: IS曲線 の導出 財市場の均衡を表す。Iは投資を表し、Sは貯蓄を表す。 ・IS曲線導出の材料 I→利子率の関数、S→所得の関数で「I=S」で財市場を表す。 ・ 投資関数 利子率の減少関数、I (投資関数)=I(r) ※rは利子率 ・政府活動の導入 裁量的な拡張的な財政政策はIS曲線をシフトさせる。 IS曲線の右シフト=政府支出の増大や減税等の有効需要を増加させる要因による 2: LM曲線 の導出 利子率の低下が国民所得の増大につながる因果関係を明らかにする目的 ・LM曲線導出の材料 貨幣需要(MD)=L、L=取引的動機+予備的動機(L1)+投機的動機(L2) MD=L1+L2 貨幣供給(Ms)=名目貨幣供給/物価(P) ・LM曲線のシフト 金融緩和策・物価下落:実質貨幣供給(MS)が増大→右(下)へシフト 金融引締策・物価上昇:実質貨幣供給(MS)が減少→左(上)へシフト 独立投資拡大→IS曲線が右にシフト 利子率がr1→r2に下落する。 IS曲線、LM曲線の均衡点がE→Fに移動する。 国民所得がY1→Yfとなって増大する。 3:特殊なLM曲線 ・ 流動性の罠 のLM曲線 金融政策は無効→LM曲線をシフトさせても均衡点Eは変わらない IS曲線を右にシフトさせる拡張的な財政政策を実施すると均衡点が E→E´となり国民所得がY1→Y2に増加するので財政政策は有効となる。    ・ 投資の利子率に対する弾力性ゼロ 金融政策は無効→LM曲線を右にシフトさせても国民所得が増えない。 流動性の罠と同じくIS曲線を右にシフトさせる拡張的な財政政策を実施すると 均衡点がE→E´となり国民所得がY1→Y2に増加するので財政政策は有効となる。       4: クラウディング・アウト 政府が市場に介入して公共投資を行うと民間の投資が締出しを受ける ・古典派による財政政策の無効論 政府支出を拡大すると利子率が上昇してしまい。投資が減少する。 政府の支出がクラウディングアウトを引き起こして支...
続きを読む