はじめに
Docker の nginx:latest (1.15.5) で SSL/TLS を使えるようにする最低限の Dockerfile を作りました – oki2a24 で最低限の SSL/TLS 設定を行いました。
今回は、それに加え、簡単な記述でセキュリティ、パフォーマンスを向上させる設定を追加していきます。
タグ: ssl
はじめに
WordPress を動かしているリバースプロキシとWebサーバの Nginx で、Let’s Encrypt と Certbot で SSL/TLS の発行、導入をしました記録♪ – oki2a24 にて SSL/TLS を導入しました。
その際、Certbot によって Nginx の設定ファイルが書き換えられました。具体的には certbot --nginx コマンドを実行することで、/etc/nginx/conf.d/default.conf ファイルが書き換えられました。
今回は、その内容を見てみます。
概要
Search Console (元ウェブマスターツール) では SSL 化していても not provided とならず検索クエリが見えているので、このデータを Google Analytics に表示させますの。
Google Analytics に連携させる Search Console の特徴
- ウェブマスターツールの名称が変わったものが Search Console
- 最近 2 ヶ月分の検索キーワードがわかる
- 逆に言うと、直近 2 ヶ月より前の古い情報はわからない
- Google Analytics と Search Console を連携する作業が必要
Search Console の特徴がそのまま引き継がれるようですの。
Search Console と Google Analytics を連携させて not provided だった検索クエリを Google Analytics で表示させる設定の確認手順
次の方法で EC-CUBE 2.12.6 の全ページを HTTPS にきると思っていましたが違ったみたいです。。。
- インストール中であれば、「WEBサーバーの設定」ブロックの「URL(通常)※」「URL(セキュア)※」に指定する URL をどちらも「http」→「https」と修正する。
- インストール後であれば、data/config/config.php の HTTP_URL および HTTPS_URL の値を「http」→「https」と修正する。
HTTPS_URL に https と入力しますと URL は必ず https になりますけれども、HTTP_URL に https と修正しましても、リンクは https に変更されません。
テンプレートでは HTTP_URL を使用していないのですね。。。たとえばヘッダーのテンプレートを見ますと
<!--{$smarty.const.TOP_URLPATH}-->
となっております。HTTP_URL 使ってませんの!
SSLサーバ証明書をコマンドを使ってCA認証局とやり取りしながらサーバにインストールした記録♪ | oki2a24 でインストールしました、SSL サーバ証明書をアンインストール、、、といいましても、SSL ソフトのパッケージをアンインストールするわけではございません。
どちらかといいますと、サーバの mod_ssl パッケージの設定から、導入した SSL サーバ証明書の記述を取り除いて無効化する、という表現がよいかと思います。それでは、始めます。
ポイント
- OpenSSL コマンドは自動でディレクトリを生成してくれないので、ないディレクトリは作業前に作成しておくこと!
- 秘密鍵 = 一種のパスワードだが、秘密鍵自体にさらにパスワードをかける。混乱したが、それだけ大事な情報だということ。しかしこの場合、Apaceh の再起動のたびに秘密鍵のパスワード入力を求められるため、運用方法によっては秘密鍵のパスワードを解除する方法もありうる、といいますかそのようなパターンは結構あると思います。
やりたいことや環境について
- oki2a24.com に対して、ベリサインの「テスト用無料SSLサーバ証明書」を適用したい
- oki2a24.com があるのは CentOS 5.9 で、Apache 2.x + mod_ssl + OpenSSL。ユーザは root で操作
- SSL 証明書の確認は Mac の Chrome で行う
用語の整理
- コモンネーム = SSL暗号化通信を行うサイトのURL
- 秘密鍵 = RSA PRIVATE KEY
- CSR = certificate signing request = certification request = BEGIN CERTIFICATE REQUEST 〜 END CERTIFICATE REQUEST = 証明書署名要求 = CA 認証局に送るサイト内容データ & 公開鍵データ。ひとつのファイルに両方の情報が含まれる。CA 認証局に提出する用に秘密鍵を使用してよくわからない文字列の状態で作成してくれる。
- SSLサーバ証明書 = crt = BEGIN CERTIFICATE 〜 END CERTIFICATE
登場する CentOS ファイルの整理
| No | 項目 | パス |
| 1 | 秘密鍵 | /etc/httpd/conf/ssl.key/ssl.oki2a24.com2013.key |
| 2 | CSR | /etc/httpd/conf/ssl.csr/ssl.oki2a24.com2013.csr |
| 3 | SSL サーバ証明書 | /etc/httpd/conf/ssl.crt/ssl.oki2a24.com2013.crt |
| 4 | 中間 CA 証明書 | /etc/httpd/conf/ssl.crt/dvcacert.cer |
| 5 | SSL 設定用 conf ファイル | /etc/httpd/conf.d/ssl.conf |
No の順番にファイルを作成したり、編集したりを行っていきます。
WordPress プラグイン、Google Authenticator の導入メモ♪ | oki2a24 で次のような課題がありました。
- iPhone の WordPress アプリでダッシュボードの表示を試みても証明書が無効のためにエラーとなりました。ユーザー名、パスワード、Google Authenticator code を入力しても次のようなアラートが表示され、ログインできません。
エラー
このサーバの証明書は無効です。”oki2a24.com”に偽装したサーバに接続している可能性があり、機密情報が漏えいするおそれがあります。
これの原因はわかっています。ログイン時にサーバに送信する情報を SSL 暗号化して通信しておりますが、身元保証はしておりません。いわゆる「オレオレ証明書」での自己署名証明書を使用しています。
ですので、採用するかどうかはともかく、とりあえず Google Authenticator プラグインを有効にしたまま、ログイン時の SSL 通信は無効とするやり方を試し、本当に iPhone の WordPress for iOS アプリにログインできるかどうかを確認します。
プラグインを入れる必要もなく、WordPress 2.6 から元々備わっていました。早速 ON にします。
SSL ログイン・管理画面アクセスを強制する手順
ログイン画面だけで SSL を強制する設定です。管理画面全体では SSL としなくても OK となりますので、対応していないプラグインを使いたいけれども、最低限ユーザ名、パスワードは暗号化したい時の設定となります。
ドヤリングがしてみたいのです!!!!だから、スターバックスで無料の Wi-Fi が使える設定をしてみます♪