【Nginx】HTTPS（SSL）設定を自己証明書で行う

Nginx で HTTPS（SSL）の設定を行う手順を記しておきます。

今さら感はありますが、そろそろ本格的に触っていかないとまずそうなので、基本のきから勉強をはじめます。

Nginx をHTTPS化する

環境

以下の環境で行ってます。

# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)

# nginx -v
nginx version: nginx/1.12.2

# cat /etc/redhat-release

CentOS Linux release 7.4.1708 (Core)

# nginx -v

nginx version: nginx/1.12.2

SSL証明書の作成

まずは、これがないと始まらない。SSL証明書を用意します。自己証明書、いわゆるオレオレ証明書の作り方は以下のエントリにまとめていますのでどうぞ。

Nginx の設定

SSL用の Config 作成

続いてはおさらいですが、Nginx の設定ファイル保存先などは以下。

/etc/nginx/conf.d

SSL設定用にファイルを作っていまいましょう。ssl.conf とかでよいのではないでしょうか。デフォルトで存在する default.conf をコピーして使います。

server {
    listen       443 ssl;
    server_name  nginx-ssl.com;

    ssl           on;
    ssl_certificate     /etc/nginx/cert02/nginx-ssl.com.pem;
    ssl_certificate_key /etc/nginx/cert02/nginx-ssl.com.key;
}

server {

listen 443 ssl;

server_name nginx-ssl.com;

ssl on;

ssl_certificate /etc/nginx/cert02/nginx-ssl.com.pem;

ssl_certificate_key /etc/nginx/cert02/nginx-ssl.com.key;

}

説明です。

ssl_certificate
SSL証明書ファイルのパスを指定します。
ssl_certificate_key
秘密鍵ファイルのパスを指定します。

続いて、設定を反映させます。Nginx ではプロセスを再起動する必要はありません。

# systemctl reload nginx

1	# systemctl reload nginx

または、以下の nginxコマンドでもOKです。

# nginx -s reload

1	# nginx -s reload

Webブラウザで、https://DomainName などとアクセスして確認します。オレオレ証明書なので当然エラーがでますが検証なので、しょうがなしです。

たったこれだけでサービスとして使えませんが、とりあえずHTTPSとして動くことが確認できました。

以下におまけとして、秘密鍵作成時にパスフレーズを設定している場合は、nginx をリスタートするときにエラーがでます。その場合の対処法をまとめましたので、どうぞ。

おまけ

おれおれ証明書を作成したときに（秘密鍵を作成するときに）パスフレーズが設定されていると以下のようなエラーがでます。

2017/10/31 00:15:41 [emerg] 1343#1343: SSL_CTX_use_PrivateKey_file("/etc/nginx/cert02/nginx-ssl.com.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0906A068:PEM routines:PEM_do_header:bad password read error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)

2017/10/31 00:15:41 [emerg] 1343#1343: SSL_CTX_use_PrivateKey_file("/etc/nginx/cert02/nginx-ssl.com.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0906A068:PEM routines:PEM_do_header:bad password read error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)

ちなみにエラーログは以下です。ログの見方は特段珍しいフォーマットでもないので割愛します（ホントはよく知らないだけ）

/var/log/nginx/error.log

↑のエラーの解消法は以下の様にパスワードを記載したパスワードファイルを用意して、設定ファイルに定義してやれば良いです。

# ls -l
合計 12
-rw-r--r-- 1 root root 1766 10月 31 00:12 nginx-ssl.com.key
-rw-r--r-- 1 root root 1212 10月 31 00:14 nginx-ssl.com.pem
-rw-r--r-- 1 root root    9 10月 31 00:43 ssl_pass_file.txt

# ls -l

合計 12

-rw-r--r-- 1 root root 1766 10月 31 00:12 nginx-ssl.com.key

-rw-r--r-- 1 root root 1212 10月 31 00:14 nginx-ssl.com.pem

-rw-r--r-- 1 root root 9 10月 31 00:43 ssl_pass_file.txt

まぁ、秘密鍵と同じディレクトリに置くのはどうかと思いますが。。。

設定ファイルの記載は以下です。

server {
    listen       443 ssl;
    server_name  nginx-ssl.com;

    ssl           on;
    ssl_certificate     /etc/nginx/cert03/nginx-ssl.com.pem;
    ssl_certificate_key /etc/nginx/cert03/nginx-ssl.com.key;
    ssl_password_file   /etc/nginx/cert03/ssl_pass_file.txt; ★
}

server {

listen 443 ssl;

server_name nginx-ssl.com;

ssl on;

ssl_certificate /etc/nginx/cert03/nginx-ssl.com.pem;

ssl_certificate_key /etc/nginx/cert03/nginx-ssl.com.key;

ssl_password_file /etc/nginx/cert03/ssl_pass_file.txt; ★

}

ssl_password_file ディレクティブにパスワードを記載したファイルのパスを指定します。

というのが一つ目の解消法で、もうひとつが以下です。

そもそも、秘密鍵にパスフレーズが設定されていることが原因で、参照できなくなっているので、パスフレーズを外してしまいましょう。

openssl コマンドを使用してパスフレーズを外すことができます。あらかじめ秘密鍵をコピーして、戻せるようにしておきます。

# cp -p nginx-ssl.com.key nginx-ssl.com.key.org
# openssl rsa -in nginx-ssl.com.key -out nginx-ssl.com.key
Enter pass phrase for nginx-ssl.com.key: パスフレーズを入力
writing RSA key

# cp -p nginx-ssl.com.key nginx-ssl.com.key.org

# openssl rsa -in nginx-ssl.com.key -out nginx-ssl.com.key

Enter pass phrase for nginx-ssl.com.key: パスフレーズを入力

writing RSA key

その後、Nginx を再起動してみると問題なく起動して、Webブラウザからも正常にアクセスできるようになります。