teratail
回答率
85.31%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.31%
トップnginxに関する質問
nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

Q&A

解決済

2回答

9842閲覧

NginxのSSL化について

tomato513
tomato513

総合スコア12

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

0グッド

1クリップ

投稿2018/08/24 08:53

編集2018/08/24 10:17

0

1

初めて質問させていただきます。
不慣れなためもしかしたら失礼あるかもしれませんがご容赦ください。

前提・実現したいこと

さくらVPSサーバーにてSSLを導入し、Webサイトの構築を行いたいのですが、
手順に従い、SSLを設定したところ、エラーが表示され接続できません。
サーバー証明書と中間証明書の不備が濃厚ですが、
vim でssl.crtを作成し、それぞれ貼り付けして保存したため、誤字脱字は考えられません。
一応さくらVPSのヘルプにもメールを送っていますが、もしかしたら設定に不備があるかもしれないと思い
こちらに投稿させていただきました。

発生している問題・エラーメッセージ

このサイトは安全に接続できません
sample-web.com から無効な応答が送信されました。
ERR_SSL_PROTOCOL_ERROR

該当のソースコード

nginx
1#nginx.conf
2user  nginx;
3worker_processes  auto;
4worker_rlimit_nofile 100000;
5
6
7error_log  /var/log/nginx/error.log warn;
8pid        /var/run/nginx.pid;
9
10
11events {
12    worker_connections 2048;
13    multi_accept on;
14    use epoll;
15}
16
17
18http {
19    include       /etc/nginx/mime.types;
20    default_type  application/octet-stream;
21
22    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
23                      '$status $body_bytes_sent "$http_referer" '
24                      '"$http_user_agent" "$http_x_forwarded_for"';
25
26    access_log  /var/log/nginx/access.log  main;
27    server_tokens off;
28    sendfile        on;
29    #tcp_nopush     on;
30
31    keepalive_timeout 10;
32    client_header_timeout 10;
33    client_body_timeout 10;
34    reset_timedout_connection on;
35    send_timeout 10;
36    limit_conn_zone $binary_remote_addr zone=addr:5m;
37    limit_conn addr 100;
38
39    gzip on;
40    gzip_http_version 1.0;
41    gzip_disable "msie6";
42    gzip_proxied any;
43    gzip_min_length 1024;
44    gzip_comp_level 6;
45    gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript application/json;
46    open_file_cache max=100000 inactive=20s;
47    open_file_cache_valid 30s;
48    open_file_cache_min_uses 2;
49    open_file_cache_errors on;
50
51
52    include /etc/nginx/conf.d/*.conf;
53}
nginx
1server {
2	listen 443 ssl;
3	ssl_certificate /etc/nginx/ssl/ssl.crt; # crt file
4    ssl_certificate_key /etc/pki/tls/certs/server.key; # secret key
5	server_name sample-web.com;
6    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
7	ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
8    ssl_prefer_server_ciphers on;
9	location / {
10		root /usr/share/nginx/html;
11		index index.html;
12	}
13
14	
15}

試したこと

Nginxの設定に不備があるかどうか

linux
1nginx -t
23nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
4nginx: configuration file /etc/nginx/nginx.conf test is successful

httpでは接続できるか

nginx
1server {
2  listen       80;
3  server_name  sample-web.com;
4
5    charset koi8-r;
6    access_log  /var/log/nginx/host.access.log  main;
7
8    
9
10    location / {
11        root   /usr/share/nginx/html;
12        index  index.html index.htm;
13    }
14}
1516index.htmlが表示されました

firewallの設定の確認

linux
1firewall-cmd --list-all
2public (active)
3  target: default
4  icmp-block-inversion: no
5  interfaces: eth0
6  sources: 
7  services: dhcpv6-client ssh-51110 http https
8  ports: 
9  protocols: 
10  masquerade: no
11  forward-ports: 
12  source-ports: 
13  icmp-blocks: 
14  rich rules:

以下頂いた回答から行った事です。

####opensslでの確認

linux
1CONNECTED(00000003)
2139875657488272:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
3---
4no peer certificate available
5---
6No client certificate CA names sent
7---
8SSL handshake has read 7 bytes and written 289 bytes
9---
10New, (NONE), Cipher is (NONE)
11Secure Renegotiation IS NOT supported
12Compression: NONE
13Expansion: NONE
14No ALPN negotiated
15SSL-Session:
16    Protocol  : TLSv1.2
17    Cipher    : 0000
18    Session-ID: 
19    Session-ID-ctx: 
20    Master-Key: 
21    Key-Arg   : None
22    Krb5 Principal: None
23    PSK identity: None
24    PSK identity hint: None
25    Start Time: 1535102954
26    Timeout   : 300 (sec)
27    Verify return code: 0 (ok)
28---
29

こちら(http://d.hatena.ne.jp/rougeref/20170519)を元に
hostsに172.16.0.1(WebサイトのIPアドレス) sample-web.comを追記
再度opensslを実行->同じエラーが発生しております。

####秘密鍵、CSR、証明書に不備がないかどうか

linux
1CSRのModulusを確認
2openssl req -in server.csr -modulus -noout
3SSLサーバ証明書のModulusを確認
4openssl x509 -in ssl.crt -modulus -noout
5秘密鍵のModulusを確認
6openssl rsa -in server.key -modulus -noout
7整合性確認いたしました。
8
9秘密鍵が破損していないことの確認
10openssl rsa -in server.key -check -noout
11問題なし
12
13SSL証明書内容確認
14openssl x509 -in ssl.crt -text -noout
15
16Subject: CN=sample-web.com
17CPS: https://www.digicert.com/CPS
18証明書の設定に不備見られませんでした

補足情報(FW/ツールのバージョンなど)

CentOS Linux release 7.5.1804 (Core)
nginx version: nginx/1.15.2
ssl ラピッドSSL digicert 8月18日新規発行

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

自己解決

ご覧いただきありがとうございます。
一応解決したため、手順などをこちらに記載させていただきます。
あまり参考になるかわかりませんが、もし同じ症状の方がいらっしゃいましたら試して見てください。

まず/etc/nginx/conf.d/***.confを再度編集して見ました。

nginx
1server {
2	listen 443 ssl;
3	ssl_certificate /etc/nginx/ssl/ssl.crt;
4        ssl_certificate_key /etc/pki/tls/certs/server.key;
5	server_name sample-web.com;
6     	ssl_session_cache shared:SSL:1m; *追加
7        ssl_session_timeout 5m; *追加
8        ssl_ciphers HIGH:!aNULL:!MD5; *追加
9        ssl_prefer_server_ciphers on; *追加
10        ssl_protocols TLSv1.1 TLSv1.2; *追加
11        ssl_stapling on; *追加
12        resolver 000.000.000.000 valid=300s; *追加(サーバーのIPアドレスを入力してください。)
13                
14	location / {
15                        root /usr/share/nginx/html;
16                        index index.html index.htm;
17                   }
18
19	
20}

そしてnginx -s reload ではなく、nginx -s stop で一度nginxを停止させ、
再度 nginx で起動させると無事httpsでhtml.indexが表示されました。

なかなかふわふわした自己解決になってしまいましたが、無事にhttps化できたのでよかったです。
daisuke 7様、本当にありがとうございました。

投稿2018/08/24 12:03

tomato513
tomato513

総合スコア12

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

openssl s_clientコマンドで証明書を確認してみてはどうでしょう?

例: opensslコマンドで証明書情報を確認したい。

投稿2018/08/24 09:00

daisuke7
daisuke7

総合スコア1563

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tomato513
tomato513

2018/08/24 09:09

御回答ありがとうございます。 確認してみましたところ、 CONNECTED(00000003) 140242547742608:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 289 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None Start Time: 1535101564 Timeout : 300 (sec) Verify return code: 0 (ok) --- Verify return code: 0となっていますが、 前半の140242547742608:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794: が気になるところです。 一度調べてみます
daisuke7
daisuke7

2018/08/24 09:33

「Cipher : 0000」なので、接続できていないですね。 ふと気づいたのですが、 ssl on; してないだけ、とか。
tomato513
tomato513

2018/08/24 09:39

ありがとうございます。 Cipher : 0000は接続できていないという意味なのですね。 知りませんでした。無知で申し訳ないです。 ssl on ; は非推奨?になったとリファレンスかどこかでみた覚えがあり、ポート部分に 443 ssl.としています。 ssl on ; 記述してreloadしましたがnginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/default.conf:21とやはり、私の使用しているNginxのverでは非推奨みたいです。
daisuke7
daisuke7

2018/08/24 09:44

SSL/TLS接続の場合、まずクライアントとサーバ間でお互いに使える暗号スイートを噛み合わせるネゴシエーションを行いますが、どの組み合わせもだめとなると Cipher : 0000 となります。 成功した場合は、 Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 みたいな感じで、選択した暗号スイートが表示されます。
tomato513
tomato513

2018/08/24 10:07

openssl x509 -in ssl.crt -text -nooutで確認したところ、 digicert署名になっておりました。 質問の情報に追記しておきます。ありがとうございます。 ついでに、秘密鍵、CSR、証明書の3点をopenssl ... nooutで確認、ファイルの破損なども確認しましたが、 秘密鍵、CSR、証明書に整合性が確認できました。(この時点で私側に不備があることが確定?しました笑)
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップnginxに関する質問

NginxのSSL化について