KUSANAGI 版本升级情報 7.8

KUSANAGI 版本升级情报 7.8

可以使用KUSANAGI的7.8版本。
在各个云平台上、新的实例化生成的时候、KUSANAGI的初期设定用yum来实现系统的升级、自动升级到7.8.2的最新版本。
正在使用以前旧版本的情况，用root权限执行以下的命令可以升级到7.8.2的最新版本。

# yum update -y kusanagi*

7.8的新机能如下所示。

1. 对应HTTP/2
2. Let’s Encrypt 导入
3. kusanagi 追加 update cert 命令
4. 构成midware 应用程序的系统升级

1. 对应HTTP/2

HTTPS通信时、HTTP/2 也可以正常通信。
HTTP/2实现与网页的多重化通信，让网页的加载时间短缩的新控制

※ HTTP/2 的详细介绍、参照这里ウィキペディアのHTTP/2。

※ 7.8以前版本设置的网站、升级到7.8后HTTPS通信时HTTP/2不能通信。7.8以前设置的网站、要利用HTTP/2、网站的配置文件要按照如下修改。

nginx配置文件

/etc/nginx/conf.d/*****_http.conf
※ ***** 是设置时的设定值

修改前

location ~* /\. {
deny all;
}

修改后

location ~* /\.well-known/ {
allow all;
}
location ~* /\. {
deny all;
}

/etc/nginx/conf.d/*****_ssl.conf
※ ***** 是设置时的设定值

修改前

location ~* /\. {
deny all;
}

修改后

location ~* /\.well-known/ {
allow all;
}
location ~* /\. {
deny all;
}

修改前

listen 443 ssl;

修改后

listen 443 ssl http2;

修改前

ssl_ciphers HIGH:!aNULL:!MD5;

修改后

ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;

apache配置文件

/etc/httpd/conf.d/*****_ssl.conf
※ ***** 设置时的设定值

<VirtualHost *:443> 下面追加这些

Protocols h2 http/1.1

修改前

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

修改后

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

2. Let’s Encrypt 导入

可以使用免费的证明书Let’s Encrypt 。设置时输入的邮件地址、Let’s Encrypt 的SSL证明书自动取得、可以被设定。并且、为了包含证明书自动更新设定能够实行、取得后 Let’s Encrypt SSL不需要多余的手续可以利用。

※ Let’s Encrypt 的证明书的取得利用、设置时设定的 FQDN 要有访问服务器的状态。Basic认证已经设定的情况下、和FQDN 的 DNS 未设定的情况、此时取得更新是不可能的。

※ Let’s Encrypt的SSL证明书没有利用的必要的情况、不输入邮箱地址直接按下ENTER键，可以跳过这一步。

※ Let’s Encrypt的SSL证明书、是域名的认证。如果需要更加强悍安全的认证，请用企业的SSL证明书。

※ Let’s Encrypt 、现在只是基础版，以后可能会变更。

※ Let’s Encrypt 的SSL证明书的取得，更新、需要使用API。对于这个API、有时间和每个域名的回数限制、频繁使用的话会访问受限。

3. kusanagi 追加 update cert 命令

伴随Let’s Encrypt的导入 、kusanagi 追加update cert 命令。

# kusanagi update cert

现在、制定目标更新 Let’s Encrypt SSL证明书。

※ 现在的目标、用kusanagi target 命令确认。

# kusanagi update cert {target}

{target} 参数指定的 Let’s Encrypt SSL证明书更新。

4. 构成的中间件、应用程序的升级

要升级到7.8版本、构成的中间件、应用程序的升级，如下所示

Nginx

1.9.10

Apache

2.4.18

HHVM

3.11.0

PHP7

7.0.2

WP-CLI

0.22.0

并且、以后、这些中间件、应用程序、为了可以利用最新的版本，可能会发行部分的更新