私は自分の Web サイト用に SSL 証明書を購入し、nginx インストールで動作させようとしましたが、接続時にブラウザが Web サイトとの接続を拒否します。以下は、Vhost の関連部分です。
server {
listen 80;
listen [::]:80;
server_name mysite.be www.mysite.be;
return 301 https://mysite.be$request_uri;
}
server {
listen 443 ssl spdy;
listen [::]:443 ssl spdy;
ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem;
ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # don.t use SSLv3 because of the POODLE attack
# Enable OCSP Stapling, point to certificate chain
ssl_stapling on;
ssl_stapling_verify on;
# Tell the browser we do SPDY
# add_header Alternate-Protocol 443:npn-spdy/2;
server_name mysite *.mysite.be;
[.....]
上記の設定
nginx.conf 部分:
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;
ssl_session_cache shared:SSL:32m;
ssl_buffer_size 8k;
ssl_session_timeout 10m;
何を間違えたのか分かりません。この段階までたどり着くまでに多くのチュートリアルに従いましたが、その後は機能しません。
答え1
最初のサーバー構成は、HTTPS (2 番目の構成) へのリダイレクトです。
2番目のサーバー構成では、SPDYモジュールはデフォルトでは構築されていないため、--with-http_spdy_module構成パラメータで有効にする必要があります。同じポートでHTTPSとSPDY接続の両方を同時に受け入れるには、使用するOpenSSLライブラリがOpenSSLバージョン1.0.1(以降で利用可能な「Next Protocol Negotiation」TLS拡張をサポートしている必要があることに注意してください。参照はこちら)。
2 番目のサーバー構成は次のように記述します (PoC)。
server {
listen 443;
server_name .mysite.be;
ssl on;
ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem;
ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
root [YOUR_ROOT_DIR]
...
}
では、nginx.confSSL に関するすべての項目を省略し、デフォルトで保持します。