インフラ

Ubuntu 14.04 + Nginx の環境で Let's Encrypt を使ってHTTPS化

安全な通信を提供するだけでなく、SEO対策にもなるHTTPS化。
Let's Encrypt を使うと無料でカンタンに HTTPS化 することができる。

HTTPS化の手順

1. letsencryptのインストール

git clone https://github.com/letsencrypt/letsencrypt.git

cd letsencrypt
./letsencrypt-auto --help

このコマンドを叩くと、足りていないパッケージなども自動的にインストールしてくれる

2. SSLサーバー証明書の取得

./letsencrypt-auto certonly --webroot --webroot-path /var/www/kokyorunstyle.com -d kokyorunstyle.com

3. SSLサーバー証明書をNginxに設定

DH鍵交換のパラメータを設定する
結構時間がかかる処理

cd /etc/ssl
sudo openssl dhparam -out /etc/ssl/private/dhparam.pem 2048

# wwwありなしを統一するためのリダイレクト(wwwなしに統一する場合)
server {
    listen 80;
    server_name www.example.com;
    rewrite ^(.*)$ http://example.com$1 permanent;
}


# HTTP で接続があった際に HTTPS へリダイレクト
server {
    listen 80;
    server_name example.com;
    rewrite ^(.*)$ https://example.com$1 permanent;
}

# HTTPS サーバの設定
server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets on;
    ssl_dhparam /etc/ssl/private/dhparam.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security max-age=15768000;
    root /home/user/encrypt.example.com;
}

Nginxを再起動

sudo nginx -t
sudo service nginx restart

自動更新

# 2ヶ月に1回更新の場合
0 0 1 */2 * /root/letsencrypt/letsencrypt-auto renew --force-renew && sudo service nginx restart

-インフラ