KUSANAGI Runs on Docker Beta版本已可使用。
使用说明请链接至「KUSANAGI Runs on Docker」。
KUSANAGI Runs on Docker Beta版本已可使用。
使用说明请链接至「KUSANAGI Runs on Docker」。
KUSANAGI 的新版本 7.8.2已经可以使用了。在各个云平台上、新的实例化生成的时候、KUSANAGI的初期设定用yum来实现系统的升级、自动升级到7.8.2的最新版本。
正在使用以前旧版本的情况,执行以下的命令可以升级到7.8.2的最新版本。
# yum update -y kusanagi*
7.8.2新机能如下所示。
指定网站的审定的网站名称(FDQN)可以更改
kusanagi provision 指定网站名称在kusanagi provision的时候指定,在此后可以自由变更
# kusanagi setting -–fqdn FQDN [profile]
【使用例】
# kusanagi setting --fqdn sample.example.com
# kusanagi setting --fqdn sample.example.com target
kusanagi provision在执行的时候指定邮箱地址、根据Let’s Encrypt 可以发行SSl证明书
kusanagi provision在执行的时候不指定邮箱地址、SSL的证明书可以后期设定。
如果执行这个命令、Let’s Encrypt 的SSL的证明书自动的取得,可以被设定。
并且、证明书的自动更新机能也包含在其中,取得后不需要格外的手续就可以继续使用 Let’s Encrypt SSL证明书
#kusanagi ssl –-email email@example.com [profile]
【使用例】
#kusanagi ssl --email john@example.com
#kusanagi ssl --email john@example.com target
※ Let’s Encrypt的证明书的取得,更新。有必要让准备的时候设定的FQDN有访问服务器的状态。如果已经设置了Basic认证、和 FQDN 的 DNS 还没有设定的情况下、请注意 Let’s Encrypt的证明书的取得,更新是不可能的。
※ Let’s Encrypt 的证明书如果不必要的情况下、可以不输入邮箱地址直接按ENTER键,跳过取得证明书的这一步。
※ Let’s Encrypt 的SSL证明书是域名的认证。如果需要更加安全稳定的认证、请使用企业认证的SSL证明书。
※ Let’s Encrypt的证明书的取得,更新,利用API。对于这个API、有时间和每个域名的回数限制、频繁使用的话会访问受限。
http接续的时候控制https是否重定向的命令、kusanagi https 追加。
#kusanagi https [redirect|noredirect]
【使用例】
# kusanagi https redirect
# kusanagi https noredirect
※ 现在的目标、用kusanagi target 命令确认。
Let’s Encrypt的自动更新的有效或无效的命令、kusanagi autorenewal 追加。
provision和SSL执行后、Let’s Encrypt的SSL证明书的自动更新变有效。
#kusanagi autorenewal [on|off]
【使用例】
kusanagi autorenewal on
kusanagi autorenewal off
为了比SSL更加安全,设定使用了DH键交换的强力公开键的nginx。
kusanagi-7.8.2的更新时候、为了生成这个公开键需要花费一些时间,这是正常情况。
并且、变更nginx所使用的暗号键的审定、设定更为强力的暗号。
※Apache的应用于以后实施。
7.8.2以前版本设置的网站、DH键交换的设定没有指定。因此,要修改一下的配置文件。
/etc/nginx/conf.d/*****_ssl.conf
※ ***** 是设置时的设定值
更改前
ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;
更改后
ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_dhparam /etc/kusanagi.d/ssl/dhparam.key; ssl_session_tickets on; ssl_session_ticket_key /etc/kusanagi.d/ssl_sess_ticket.key; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.4.4 8.8.8.8 valid=300s; resolver_timeout 10s;
※ssl_ciphers 行可以看出因为篇幅所限自动改行,到;为止是一行。
kusanagi 准备了man page命令。
# man kusanagi
构成KUSANAGI 的各个模块已经升级 。
升级后各个模块的版本如下所示。
OpenSSL | 1.0.2h |
---|---|
WordPress | 4.5.2 |
nginx | 1.10.0 |
PHP | 7.0.6 |
重要的是、OpenSSL 1.0.2h 包括了重大的安全补丁的更新。
CentOS 7 标准包一起执行更新、推荐重启服务和服务器。
模块的升级使用以下的命令。
# yum update
需要升级到WordPress4.5.2、请在WordPress的管理页面执行升级。并且、推荐同步更新WordPress的插件和主题。
KUSANAGI的插件,主题的追加和更新需要FTP的接续。
接续方法、参照FAQ 的 Q3。