Apache の SSL 設定を簡単設定に

スポンサーリンク

 Generate Mozilla Security Recommended Web Server Configuration Files という名前そのまんまなサイトがあると知った。ちょうど SSL 周りを弄っているところだったから、ありがたくこれを使わせて貰うことにした。


 アクセスすると上部はこうなっている。
22_moz_ssl
 アクセスした最初のラジオボックスで設定する Web サーバーを選択。
 Modern, Intermediate, Old は設定レベルとでも言うのだろうか。Modern > Intermediate > Old の順で Modern に行くほどキツキツの設定となり、今現在なら WindowsXP や Android 2.3 系など古い OS を切り捨てるようなレベルになる。もうそうしてしまって良いと思うところだが。
 Server Version は Web サーバーのバージョンを。OpenSSL の項も同様にする。

 全て入力すると、下部に設定が出力される。

<VirtualHost *:443>
    ...
    SSLEngine on
    SSLCertificateFile      /path/to/signed_certificate
    SSLCertificateChainFile /path/to/intermediate_certificate
    SSLCertificateKeyFile   /path/to/private/key
    SSLCACertificateFile    /path/to/all_ca_certs


    # HSTS (mod_headers is required) (15768000 seconds = 6 months)
    Header always set Strict-Transport-Security "max-age=15768000"
    ...
</VirtualHost>

# modern configuration, tweak to your needs
SSLProtocol             all -SSLv3 -TLSv1
SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLHonorCipherOrder     on
    SSLCompression          off


    # OCSP Stapling, only in httpd 2.3.3 and later
    SSLUseStapling          on
    SSLStaplingResponderTimeout 5
    SSLStaplingReturnResponderErrors off
SSLStaplingCache        shmcb:/var/run/ocsp(128000)

 VirtualHost ディレクティブ内の物はその通り VirtualHost 内に記述。外にある記述は VirtualHost ディレクティブ外に書く。

 これだけでさくっと完了した。

 また、今回は WoSign という中国にある無料 SSL 証明書を利用して遊んでいた時に得た情報である。
 機会があれば後日またこの証明書に関しても書こうかな。

スポンサーリンク