AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

Lightsail インスタンスで TLS 1.0または TLS 1.1をオフにするにはどうすればよいですか?

所要時間2分
0

Amazon Lightsail インスタンスで TLS 1.0または TLS 1.1をオフにしようと思います。

簡単な説明

SSL/TLS プロトコルの TLS 1.2 より前のバージョンはいずれも更新されなくなり、安全ではないとされています。ほとんどのウェブサーバーでは、こうした TLS バージョンが依然としてデフォルトでオンになっています。ウェブサーバー設定ファイルの SSLProtocol ディレクティブを変更して、当該プロトコルをオフにします。後述の解決方法で、Apache ウェブサーバーや NGINX ウェブサーバーの Lightsail インスタンスで更新されていない TLS バージョンをオフにする方法を説明します。

**注:**Amazon Lightsail ロードバランサーをウェブサイトで使用している場合は、ロードバランサーの TLS バージョン1.0と1.1もオフにする必要があります。ただし、Lightsail ロードバランサーの TLS バージョンをオフにすることは現在サポートされていません。こうした TLS バージョンをオフにしても Lightsail ロードバランサーを使用するには、Lightsail ロードバランサーの代わりに Amazon Application Load Balancer を使用してください。

解決方法

**注:**この記事で言及しているファイルパスは、次のことに基づいて変更されることがあります。

  • インスタンスには Bitnami スタックがあり、Bitnami スタックではネイティブの Linux システムパッケージを使用する (アプローチ A)。
  • インスタンスには Bitnami スタックがあり、自己完結型インストールとなる (アプローチ B)。

Lightsail インスタンスを Bitnami スタックで 使用する場合は、次のコマンドを実行して Bitnami インストールタイプを特定します。

Bitnami スタックのある Lightsail インスタンス

Apache ウェブサービス

1.    次の設定ファイルを開きます。

アプローチ A の Bitnami スタック

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami-ssl.conf

アプローチ B の Bitnami スタック

sudo vi /opt/bitnami/apache2/conf/bitnami/bitnami.conf

2.    設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。

SSLProtocol +TLSv1.2 +TLSv1.3

**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドを実行して確認してください。

3.    ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。

4.    Apache サービスを再起動します。

sudo /opt/bitnami/ctlscript.sh restart apache

NGINX ウェブサービス

1.    次の設定ファイルを開きます。

sudo vi /opt/bitnami/nginx/conf/nginx.conf

2.    設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。

ssl_protocols TLSv1.2 TLSv1.3;

**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドで確認してください。

3.    ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。

4.    Apache サービスを再起動します。

sudo /opt/bitnami/ctlscript.sh restart nginx

Bitnami スタックのない Lightsail インスタンス

Apache ウェブサービス

1.    次の設定ファイルを開きます。
Amazon Linux 2 や CentOS などの Linux ディストリビューションの場合

sudo vi /etc/httpd/conf.d/ssl.conf

Ubuntu や Debian などの Linux ディストリビューションの場合

sudo vi /etc/apache2/mods-enabled/ssl.conf

2.    設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。

SSLProtocol +TLSv1.2 +TLSv1.3

**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドで確認してください。

3.    ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。

4.    Apache サービスを再起動します。

Amazon Linux 2 や CentOS などの Linux ディストリビューションの場合

sudo systemctl restart httpd

Ubuntu や Debian などの Linux ディストリビューションの場合

sudo systemctl restart apache2

NGINX ウェブサービス

1.    次の設定ファイルを開きます。

sudo vi /etc/nginx/nginx.conf

2.    設定ファイルで、使用する TLS バージョンが反映されるよう SSLProtocol ディレクティブを変更します。次の例では、TLS バージョンは1.2と1.3です。

ssl_protocols TLSv1.2 TLSv1.3;

**注:**TLSv1.3を使用するのは、OpenSSL バージョン 1.1.1 がサーバーにインストールされている場合のみです。バージョンは openssl version コマンドで確認してください。

3.    ファイルを保存します。Esc を押し、「wq!」と入力してから Enter キーを押します。

4.    Apache サービスを再起動します。

sudo systemctl restart nginx
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ