KUSANAGI版本升级情報 7.8.2
KUSANAGI 的新版本 7.8.2已经可以使用了。在各个云平台上、新的实例化生成的时候、KUSANAGI的初期设定用yum来实现系统的升级、自动升级到7.8.2的最新版本。
正在使用以前旧版本的情况,执行以下的命令可以升级到7.8.2的最新版本。
# yum update -y kusanagi*
7.8.2新机能如下所示。
- kusanagi 追加setting 命令
- kusanagi 追加ssl 命令
- kusanagi 追加https 命令
- kusanagi 追加 autorenewal 命令
- 2048bit DHE key 的使用
- man page 追加
1.kusanagi 追加setting 命令
指定网站的审定的网站名称(FDQN)可以更改
kusanagi provision 指定网站名称在kusanagi provision的时候指定,在此后可以自由变更
# kusanagi setting -–fqdn FQDN [profile]
【使用例】
- ・现在使用的主机名变成sample.example.com
※ 现在的主机名称可以用kusanagi target命令来确认
# kusanagi setting --fqdn sample.example.com
- ・注定的网站变更成sample.example.com
# kusanagi setting --fqdn sample.example.com target
2. kusanagi 追加ssl 命令
kusanagi provision在执行的时候指定邮箱地址、根据Let’s Encrypt 可以发行SSl证明书
kusanagi provision在执行的时候不指定邮箱地址、SSL的证明书可以后期设定。
如果执行这个命令、Let’s Encrypt 的SSL的证明书自动的取得,可以被设定。
并且、证明书的自动更新机能也包含在其中,取得后不需要格外的手续就可以继续使用 Let’s Encrypt SSL证明书
#kusanagi ssl –-email email@example.com [profile]
【使用例】
- ・现在指定的目标网站设置 Let’s Encrypt 的SSl证明书。
#kusanagi ssl --email john@example.com
- ・指定的目标网站target 设置 Let’s Encrypt 的SSl证明书 。
#kusanagi ssl --email john@example.com target
※ Let’s Encrypt的证明书的取得,更新。有必要让准备的时候设定的FQDN有访问服务器的状态。如果已经设置了Basic认证、和 FQDN 的 DNS 还没有设定的情况下、请注意 Let’s Encrypt的证明书的取得,更新是不可能的。
※ Let’s Encrypt 的证明书如果不必要的情况下、可以不输入邮箱地址直接按ENTER键,跳过取得证明书的这一步。
※ Let’s Encrypt 的SSL证明书是域名的认证。如果需要更加安全稳定的认证、请使用企业认证的SSL证明书。
※ Let’s Encrypt的证明书的取得,更新,利用API。对于这个API、有时间和每个域名的回数限制、频繁使用的话会访问受限。
3. kusanagi 追加 https 命令
http接续的时候控制https是否重定向的命令、kusanagi https 追加。
#kusanagi https [redirect|noredirect]
【使用例】
- ・现在,指定目标的http接续,自动用https重定向
# kusanagi https redirect
- ・现在,指定目标的http接续,自动https重定向 解除。
# kusanagi https noredirect
※ 现在的目标、用kusanagi target 命令确认。
4. kusanagi 追加 autorenewal 命令
Let’s Encrypt的自动更新的有效或无效的命令、kusanagi autorenewal 追加。
provision和SSL执行后、Let’s Encrypt的SSL证明书的自动更新变有效。
#kusanagi autorenewal [on|off]
【使用例】
- ・现在制定目标、Let’s Encrypt的SSL证明书变成有效。
kusanagi autorenewal on
- ・现在制定目标、Let’s Encrypt的SSL证明书变成无效。
kusanagi autorenewal off
5. 2048bit DH键的使用
为了比SSL更加安全,设定使用了DH键交换的强力公开键的nginx。
kusanagi-7.8.2的更新时候、为了生成这个公开键需要花费一些时间,这是正常情况。
并且、变更nginx所使用的暗号键的审定、设定更为强力的暗号。
※Apache的应用于以后实施。
7.8.2以前版本设置的网站、DH键交换的设定没有指定。因此,要修改一下的配置文件。
nginx配置文件
/etc/nginx/conf.d/*****_ssl.conf
※ ***** 是设置时的设定值
更改前
ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;
更改后
ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_dhparam /etc/kusanagi.d/ssl/dhparam.key; ssl_session_tickets on; ssl_session_ticket_key /etc/kusanagi.d/ssl_sess_ticket.key; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.4.4 8.8.8.8 valid=300s; resolver_timeout 10s;
※ssl_ciphers 行可以看出因为篇幅所限自动改行,到;为止是一行。
6. man page 追加
kusanagi 准备了man page命令。
# man kusanagi