質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

解決済

NginxのSSL化について

tomato513
tomato513

総合スコア12

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

2回答

0評価

1クリップ

7343閲覧

投稿2018/08/24 08:53

編集2018/08/24 10:17

初めて質問させていただきます。
不慣れなためもしかしたら失礼あるかもしれませんがご容赦ください。

前提・実現したいこと

さくらVPSサーバーにてSSLを導入し、Webサイトの構築を行いたいのですが、
手順に従い、SSLを設定したところ、エラーが表示され接続できません。
サーバー証明書と中間証明書の不備が濃厚ですが、
vim でssl.crtを作成し、それぞれ貼り付けして保存したため、誤字脱字は考えられません。
一応さくらVPSのヘルプにもメールを送っていますが、もしかしたら設定に不備があるかもしれないと思い
こちらに投稿させていただきました。

発生している問題・エラーメッセージ

このサイトは安全に接続できません sample-web.com から無効な応答が送信されました。 ERR_SSL_PROTOCOL_ERROR

該当のソースコード

nginx

#nginx.conf user nginx; worker_processes auto; worker_rlimit_nofile 100000; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 2048; multi_accept on; use epoll; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; server_tokens off; sendfile on; #tcp_nopush on; keepalive_timeout 10; client_header_timeout 10; client_body_timeout 10; reset_timedout_connection on; send_timeout 10; limit_conn_zone $binary_remote_addr zone=addr:5m; limit_conn addr 100; gzip on; gzip_http_version 1.0; gzip_disable "msie6"; gzip_proxied any; gzip_min_length 1024; gzip_comp_level 6; gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript application/json; open_file_cache max=100000 inactive=20s; open_file_cache_valid 30s; open_file_cache_min_uses 2; open_file_cache_errors on; include /etc/nginx/conf.d/*.conf; }

nginx

server { listen 443 ssl; ssl_certificate /etc/nginx/ssl/ssl.crt; # crt file ssl_certificate_key /etc/pki/tls/certs/server.key; # secret key server_name sample-web.com; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;  ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html; } }

試したこと

Nginxの設定に不備があるかどうか

linux

nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful

httpでは接続できるか

nginx

server { listen 80; server_name sample-web.com; charset koi8-r; access_log /var/log/nginx/host.access.log main; location / { root /usr/share/nginx/html; index index.html index.htm; } } index.htmlが表示されました

firewallの設定の確認

linux

firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client ssh-51110 http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

以下頂いた回答から行った事です。

####opensslでの確認

linux

CONNECTED(00000003) 139875657488272:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 289 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None Start Time: 1535102954 Timeout : 300 (sec) Verify return code: 0 (ok) ---

こちら(http://d.hatena.ne.jp/rougeref/20170519)を元に
hostsに172.16.0.1(WebサイトのIPアドレス) sample-web.comを追記
再度opensslを実行->同じエラーが発生しております。

####秘密鍵、CSR、証明書に不備がないかどうか

linux

CSRのModulusを確認 openssl req -in server.csr -modulus -noout SSLサーバ証明書のModulusを確認 openssl x509 -in ssl.crt -modulus -noout 秘密鍵のModulusを確認 openssl rsa -in server.key -modulus -noout 整合性確認いたしました。 秘密鍵が破損していないことの確認 openssl rsa -in server.key -check -noout 問題なし SSL証明書内容確認 openssl x509 -in ssl.crt -text -noout Subject: CN=sample-web.com CPS: https://www.digicert.com/CPS 証明書の設定に不備見られませんでした

補足情報(FW/ツールのバージョンなど)

CentOS Linux release 7.5.1804 (Core)
nginx version: nginx/1.15.2
ssl ラピッドSSL digicert 8月18日新規発行

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。