この記事は最終更新日より 1 年以上経過しています。
画像やリンクが無効になっている可能性もあるのでご了承下さい。
画像やリンクが無効になっている可能性もあるのでご了承下さい。
Generate Mozilla Security Recommended Web Server Configuration Files という名前そのまんまなサイトがあると知った。ちょうど SSL 周りを弄っているところだったから、ありがたくこれを使わせて貰うことにした。
アクセスすると上部はこうなっている。
アクセスした最初のラジオボックスで設定する Web サーバーを選択。
Modern, Intermediate, Old は設定レベルとでも言うのだろうか。Modern > Intermediate > Old の順で Modern に行くほどキツキツの設定となり、今現在なら WindowsXP や Android 2.3 系など古い OS を切り捨てるようなレベルになる。もうそうしてしまって良いと思うところだが。
Server Version は Web サーバーのバージョンを。OpenSSL の項も同様にする。
全て入力すると、下部に設定が出力される。
<VirtualHost *:443>
...
SSLEngine on
SSLCertificateFile /path/to/signed_certificate
SSLCertificateChainFile /path/to/intermediate_certificate
SSLCertificateKeyFile /path/to/private/key
SSLCACertificateFile /path/to/all_ca_certs
# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always set Strict-Transport-Security "max-age=15768000"
...
</VirtualHost>
# modern configuration, tweak to your needs
SSLProtocol all -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLHonorCipherOrder on
SSLCompression off
# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
VirtualHost ディレクティブ内の物はその通り VirtualHost 内に記述。外にある記述は VirtualHost ディレクティブ外に書く。
これだけでさくっと完了した。
また、今回は WoSign という中国にある無料 SSL 証明書を利用して遊んでいた時に得た情報である。
機会があれば後日またこの証明書に関しても書こうかな。
コメント