Openssl 1.1.1 releaseとNginxに実装

ネットワークエンジニア

本当は昨日記事にかきたかったのですが、

muninのバージョンアップがありサーバーのリソースが監視できなくなってしまい

色々なんだかんだとやっていたら、午後五時に・・・。

結局ダウングレードすることによって解決。

そのうち暇があったらニューバージョンの方に対応させたいと思う。

さて、openssl-1.1.1がでたのでNginxを対応してみようと思う。

簡単なrpmファイルの作成でやってみよう。

作業ディレクトリに移動

# cd /usr/local/src

openssl-1.1.1のダウンロード

# wget https://www.openssl.org/source/openssl-1.1.1.tar.gz
# tar zxvf openssl-1.1.1.tar.gz

brotliのインストール

# git clone https://github.com/google/ngx_brotli.git
# cd /usr/local/src/ngx_brotli && git submodule update --init

そしてsrpmファイルをインストール

# rpm -ivh http://nginx.org/packages/mainline/centos/7/SRPMS/nginx-1.15.3-1.el7_4.ngx.src.rpm
# cd /root/rpmbuild/SPECS

specファイルの編集

# vi nginx.spec

58行目くらいに
%define BASE_CONFIGURE_ARGS
とあるので

--with-http_v2_module後ろあたりに下記を追加
--with-openssl=/usr/local/src/openssl-1.1.1 --with-openssl-opt=enable-tls1_3 --add-module=/usr/local/src/ngx_brotli

lsb_releaseコマンドのインストール
# yum -y install redhat-lsb-core

rpmファイルの作成
# rpmbuild -ba nginx.spec

rpmのディレクトリに移動とインストール
# cd rpmbuild/RPMS/x86_64/
# rpm -ivh nginx-1.15.3-1.el7_4.ngx.x86_64.rpm

nginx.confの編集
# vi /etc/nginx/nginx.conf

# tls1.3の有効化
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

#tls.13サイファースィート
ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:TLS13-AES-256-GCM-SHA384';

こんな感じでやっつけでやってみました。

後はserviceコマンドなりで起動したりテストしたりしてみてください。

brotliのディレクティブは下記にかいてあります。

google/ngx_brotli
NGINX module for Brotli compression. Contribute to google/ngx_brotli development by creating an account on GitHub.

次にブラウザ側のほうです。

こちらはchrome70(10/16 release),firefoxとおおよそ10月には対応予定なので

それまでサーバーを対応させておけばよろしいのかなとおもいます。

今のところchrome canaryを使うと確認できます。chrome://flagsでtls1.3 finalを選べばアクセスできます。

レンタルサーバー側で対応してるのは今のところcloudflareですかね???

tls1.3の仕様につていはopensslのwikiか、RFCを読むよというでしょう

TLS1.3 - OpenSSLWiki

蛇足ながら、chromeでevsslの組織名がなくなるかもしれません。

認証局のほうがこれをゆるさいないかも???

evsslをお使いのサイト管理者の方はちょっと頭の方にいれておいたほうがいいかもしれません。

最後にブログの読者さんから、連絡頂きましてこのブログが参考になったとtwiiterのDMをいただきました。

多少なりともお役に立てたのはうれしい限りです。

私は8年以上70歳くらいの素人に教わりながら、linux初心者の質問に答えてる程度です。

これからも初心者の背中を多少押せるくらいにはがんばりたいですな。