KUSANAGI版本升级情報 7.8.2

KUSANAGI版本升级情報 7.8.2

KUSANAGI 的新版本 7.8.2已经可以使用了。在各个云平台上、新的实例化生成的时候、KUSANAGI的初期设定用yum来实现系统的升级、自动升级到7.8.2的最新版本。
正在使用以前旧版本的情况,执行以下的命令可以升级到7.8.2的最新版本。

# yum update -y kusanagi*

7.8.2新机能如下所示。

  1. kusanagi 追加setting 命令
  2. kusanagi 追加ssl 命令
  3. kusanagi 追加https 命令
  4. kusanagi 追加 autorenewal 命令
  5. 2048bit DHE key 的使用
  6. man page 追加

1.kusanagi 追加setting 命令

指定网站的审定的网站名称(FDQN)可以更改
kusanagi provision 指定网站名称在kusanagi provision的时候指定,在此后可以自由变更

# kusanagi setting -–fqdn FQDN [profile]

【使用例】

    • ・现在使用的主机名变成sample.example.com
      ※ 现在的主机名称可以用kusanagi target命令来确认
# kusanagi setting --fqdn sample.example.com
    • ・注定的网站变更成sample.example.com
# kusanagi setting --fqdn sample.example.com target

2. kusanagi 追加ssl 命令

kusanagi provision在执行的时候指定邮箱地址、根据Let’s Encrypt 可以发行SSl证明书
kusanagi provision在执行的时候不指定邮箱地址、SSL的证明书可以后期设定。
如果执行这个命令、Let’s Encrypt 的SSL的证明书自动的取得,可以被设定。
并且、证明书的自动更新机能也包含在其中,取得后不需要格外的手续就可以继续使用 Let’s Encrypt SSL证明书

#kusanagi ssl –-email email@example.com [profile]

【使用例】

    • ・现在指定的目标网站设置 Let’s Encrypt 的SSl证明书。
#kusanagi ssl --email john@example.com
    • ・指定的目标网站target 设置 Let’s Encrypt 的SSl证明书 。
#kusanagi ssl --email john@example.com target

※ Let’s Encrypt的证明书的取得,更新。有必要让准备的时候设定的FQDN有访问服务器的状态。如果已经设置了Basic认证、和 FQDN 的 DNS 还没有设定的情况下、请注意 Let’s Encrypt的证明书的取得,更新是不可能的。

※ Let’s Encrypt 的证明书如果不必要的情况下、可以不输入邮箱地址直接按ENTER键,跳过取得证明书的这一步。

※ Let’s Encrypt 的SSL证明书是域名的认证。如果需要更加安全稳定的认证、请使用企业认证的SSL证明书。

※ Let’s Encrypt的证明书的取得,更新,利用API。对于这个API、有时间和每个域名的回数限制、频繁使用的话会访问受限。

3. kusanagi 追加 https 命令

http接续的时候控制https是否重定向的命令、kusanagi https 追加。

#kusanagi https [redirect|noredirect]

【使用例】

    • ・现在,指定目标的http接续,自动用https重定向
# kusanagi https redirect
    • ・现在,指定目标的http接续,自动https重定向 解除。
# kusanagi https noredirect

※ 现在的目标、用kusanagi target 命令确认。

4. kusanagi 追加 autorenewal 命令

Let’s Encrypt的自动更新的有效或无效的命令、kusanagi autorenewal 追加。
provision和SSL执行后、Let’s Encrypt的SSL证明书的自动更新变有效。

#kusanagi autorenewal [on|off]

【使用例】

    • ・现在制定目标、Let’s Encrypt的SSL证明书变成有效。
kusanagi autorenewal on
    • ・现在制定目标、Let’s Encrypt的SSL证明书变成无效。
kusanagi autorenewal off

5. 2048bit DH键的使用

为了比SSL更加安全,设定使用了DH键交换的强力公开键的nginx。
kusanagi-7.8.2的更新时候、为了生成这个公开键需要花费一些时间,这是正常情况。
并且、变更nginx所使用的暗号键的审定、设定更为强力的暗号。
※Apache的应用于以后实施。

7.8.2以前版本设置的网站、DH键交换的设定没有指定。因此,要修改一下的配置文件。

nginx配置文件

/etc/nginx/conf.d/*****_ssl.conf
※ ***** 是设置时的设定值
更改前

    ssl_ciphers  AESGCM:HIGH:!aNULL:!MD5;

更改后

       ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_dhparam /etc/kusanagi.d/ssl/dhparam.key;
ssl_session_tickets     on;
ssl_session_ticket_key     /etc/kusanagi.d/ssl_sess_ticket.key;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

※ssl_ciphers 行可以看出因为篇幅所限自动改行,到;为止是一行。

6. man page 追加

kusanagi 准备了man page命令。

# man kusanagi