nginx 新規/更新用

中間CA証明書、サーバー証明書をダウンロードし、次の手順に従い証明書を設定してください。

  1. 証明書のインストール
  2. 鍵ペアのインストール
  3. SSL/TLSの有効化
  4. サーバー・プロセスの再起動

以下の

  • ssl_certificate
  • ssl_certificate_key

等の指定はnginxの立上げファイルの中にあります。 既定の立上げファイルの名前は、「nginx.conf」です。既定の立上げファイルは、nginxのインストール先直下の「conf/」ディレクトリーにあります。

立上げファイルでは、「#」文字で行内コメントが始まります。以下で使用する各種の指定の左に「#」文字のないことを確認してください。

証明書のインストール

立上げファイルの「ssl_certificate」に指定するパス名のファイルに、2枚の証明書をつないで保存します。

この手順では、 例として立上げファイルで「ssl_certificate」に以下と設定することを前提としています。

例)「ssl_certificate」に「/pathname/of/combined.crt」と設定

サーバー証明書とチェーン証明書(中間CA証明書)の2つをつなぐ

次のコマンドを入力し、ダウンロードしたサーバー証明書(例: Bxxxxxx.txt)と中間CA証明書(例: pfwsr2ca.txt)の2つファイルをつないでください。

※ダウンロードしたファイルは、 現在作業中のディレクトリーにあるものとします。

コマンド例# cat Bxxxxxx.txt pfwsr2ca.txt >/pathname/of/combined.crt

「Bxxxxxx.txt」: サーバー証明書のパス名

「pfwsr2ca.txt」: 中間CA証明書のパス名

「/pathname/of/combined.crt」: 立上げファイルの「ssl_certificate」に指定したパス名

※相対パス名で書くと、nginxのインストール先ディレクトリー直下の「conf/」ディレクトリーからの相対パス名とみなされます

以上で証明書のインストールは完了です。

鍵ペアのインストール

立上げファイルの「ssl_certificate_key」に指定するパス名のファイルに、鍵ペアのファイルを移動していただきます。

この手順では、 例として立上げファイルで、「ssl_certificate_key」に以下と設定することを前提としています。

例)「ssl_certificate_key」に「/pathname/of/server.key」と設定

鍵ペアファイルの移動

サーバー証明書に対応する鍵ペアのファイルを、指定したパス名へ移動させます。

※servername.key(お申込み時に生成した鍵ペアファイル)は、 現在作業中のディレクトリーにあるものとします。

コマンド例:# mv -i servername.key /pathname/of/server.key

※コマンド・プロンプトの前に別なプロンプトの出た場合は、 既存ファイルへ上書きの可能性がありますので、パス名を確認してください 。

以上で鍵ペアのインストールは完了です。

SSL/TLSの有効化

ウェブ・サーバーにSSL/TLSを有効にするための作業をしていただきます。

SSL/TLSを設定済みであれば、次のように設定されているかどうかをご確認ください。

SSL/TLSの有効化

SSL/TLSを有効にするため、立上げファイルに次のように指定してください

コマンド例:
listen 443 ssl;
server_name www.example.net;
#ssl on;
ssl_certificate /pathname/of/combined.crt;
ssl_certificate_key /pathname/of/server.key;
ssl_session_timeout 5m;
#ssl_protocols TLSv1;

「443」:(httpsで) サーバーの待ち受けるポート番号

「 ssl」:httpsの指定です。1.0.4版以前では省いてください

「ssl on;」:httpsの古い指定です。1.0.4版以前ではコメント文字(#)を外してください

「www.example.net」:証明書の主体者の識別名 (DN) のコモン・ネーム (CN) の値。 これはサーバーのFQDN (Fully Qualified Domain Name) でもあります

「/pathname/of/combined.crt」:「証明書のインストール」 でインストールした証明書のパス名

「/pathname/of/server.key」:「鍵ペアのインストール」 でインストールした鍵ペアのパス

「ssl_protocols TLSv1;」:プロトコルの古い指定で、1.5.4版以降では、指定は不要です。1.5.3版以前ではコメント文字(#)を外してください。TLSでの通信に不具合のある古い端末とも通信させる場合は、「 SSLv3 」も加えてください

以上でSSL/TLSの有効化は完了です。

サーバー・プロセスの再起動

サーバー・プロセスをいったん停止して、その後で再起動してください。

サーバー・プロセスの停止

停止コマンド:# /NGINX_HOME/sbin/nginx -s stop

「/NGINX_HOME」:nginxのインストール先ディレクトリー

サーバー・プロセスの再開

再開コマンド:# /NGINX_HOME/sbin/nginx

「/NGINX_HOME」:nginxのインストール先ディレクトリー

注意:待ち受けるポート番号によっては、スーパーユーザー特権の不必要な場合もあります。

以上でサーバー・プロセスの再起動の完了です。

証明書のインストールは、以上で完了です。

※証明書のインストール後、鍵ストアのファイルは、必ずバックアップをとり、パスワードの保管場所と別の安全な場所に保管してください。