はじめに
本記事の目的
本記事はNGINXを用いたSSLターミネーションについて、基本的な仕組みから実際の設定、運用上の注意点や活用例までをわかりやすく解説します。専門用語は最小限にして具体例を交え、実務で使える知識を提供します。
対象読者
- Webサーバーやリバースプロキシの運用に関心がある方
- NGINXでHTTPSを扱いたいエンジニアや運用担当者
- SSL/TLSの運用を学びたい初心者の方
この記事で学べること
- SSLターミネーションの基本概念とメリット
- NGINXがどのようにターミネーションを行うかの仕組み
- 実際の設定例と設定時のポイント
- 運用上の注意点、セキュリティやパフォーマンス改善のベストプラクティス
- 代表的なユースケースと導入時の判断基準
前提知識
最低限、HTTPSの役割(暗号化と認証)とNGINXの設定ファイルを編集できる程度の知識があると読みやすいです。深い暗号理論は不要です。
進め方
以降の章で概念→仕組み→設定例→運用まで順に解説します。まずは第2章で基本をしっかり押さえてください。
SSLターミネーションとは何か
概要
SSLターミネーションとは、インターネット側から来る暗号化通信(HTTPS/TLS)をリバースプロキシやロードバランサが受け取り、その場で復号(暗号解除)してバックエンドに平文のHTTPで渡す仕組みです。例えると、入口で封筒を開けて中身を社内に回すイメージです。
動作の流れ(簡単)
- クライアントがHTTPSで接続します。
- NGINXなどのプロキシがTLSを終端し、復号します。
- 復号したリクエストをバックエンドサーバにHTTPで転送します。
主なメリット
- アプリケーションサーバの負荷を減らせます。証明書処理や暗号化計算をプロキシに集約できます。
- 証明書を一元管理できます。複数サーバに証明書を置く必要が少なくなります。
- レスポンス処理が速くなることがあります。プロキシ側で圧縮やキャッシュを行いやすいです。
- 運用管理が簡素化します。更新や監視を集中できます。
簡単な図(テキスト)
クライアント —(HTTPS)—> NGINX(復号) —(HTTP)—> アプリ
注意点
内部通信が平文になるため、社内ネットワークで保護する必要があります。より高い安全性が必要な場合は、プロキシからバックエンドへもTLSで再暗号化する方法や、相互TLS(mTLS)を検討してください。
どんなときに使うか
大量のトラフィックがあり暗号処理を分散したくないとき、証明書を中央で管理したいとき、あるいはレガシーなアプリがTLS対応していないときに有効です。
NGINXでのSSLターミネーションの仕組み
全体の流れ
クライアントがHTTPSで接続すると、まずNGINXが受け取ります。NGINXはサーバー証明書と秘密鍵で暗号化を解除(復号)し、リクエストを平文のHTTPに変換します。その後、NGINXは内部ネットワーク上のバックエンド(例えばアプリサーバー)へHTTPで転送します。図にすると「クライアント → NGINX(HTTPS) → NGINXで復号 → バックエンド(HTTP)」です。
NGINXが行う主な処理
- TLSハンドシェイクの実行:クライアントと安全な接続を確立します。
- 暗号化の解除:受信データを復号してHTTPリクエストに戻します。
- 追加ヘッダーの付与:X-Forwarded-ForやX-Forwarded-Protoなどを付けて、元の接続情報をバックエンドに伝えます。
- 負荷分散・キャッシュ:必要に応じてリクエストを複数のバックエンドに振り分けたり、キャッシュで応答を返したりします。
設定でのポイント(例)
- listen 443 ssl;、ssl_certificate、ssl_certificate_keyを指定します。
- proxy_passでバックエンドにhttp://を使って転送します。
- proxy_set_header X-Forwarded-Proto $scheme; で元のスキームを渡します。
セキュリティと運用上の注意
NGINXが復号した後は、バックエンドとの通信が平文になります。内部ネットワーク内で安全に扱うか、バックエンドとNGINX間もTLSで保護する選択肢があります。証明書の更新やTLSバージョン、強力な暗号スイートの設定を定期的に見直してください。
NGINXでのSSLターミネーション設定例
前提
ここではNginxがフロントでTLSを終端し、バックエンドへはHTTPで転送する例を示します。証明書(.crt)と秘密鍵(.key)が用意されている前提です。
証明書と秘密鍵の配置
例: /etc/nginx/ssl/example.com.crt
/etc/nginx/ssl/example.com.key
秘密鍵は権限を600にして、rootのみ読み取り可能にしてください。
nginx.conf の例
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://backend_service;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
バックエンドへのプロキシ設定
上記でproxy_passにHTTPのバックエンドを指定します。内部ネットワークや同一ホストなら平文HTTPで問題ないことが多いです。ヘッダを渡しておくとログやアプリが元の情報を扱えます。
Let’s Encrypt の自動更新
Certbotを使う場合、certbot renew --dry-runで動作確認し、cronやsystemdタイマーにより自動実行します。更新後はsystemctl reload nginxで反映します。
注意点
秘密鍵の管理、強いプロトコル設定、証明書の有効期限管理を忘れないでください。
SSLターミネーションの運用上の注意点とベストプラクティス
基本方針
TLSは古いバージョンを無効化し、TLS1.2/1.3を採用してください。これにより既知の脆弱性を避けられます。例:NGINXならssl_protocolsで設定します。
強力な暗号スイートと設定
弱い暗号を無効にし、最新の暗号スイートやECDHE(前方秘匿)を優先してください。サーバ側の順序を優先すると安全性が高まります。
HTTP/2の有効化
HTTP/2は同時接続を減らし応答性を向上します。TLSと組み合わせて運用することを推奨します。
証明書と秘密鍵の管理
秘密鍵のアクセス権を厳しく管理し、自動更新(例:ACMEクライアント)で期限切れを防いでください。鍵は可能であれば専用の鍵管理(HSMやKMS)で保護します。
バックエンドとの通信
バックエンド側でも暗号化が必要なら、SSLパススルー(終端しない)か、リバースプロキシで再暗号化する構成を検討してください。パススルーはエンドツーエンド暗号化を保ちますが、リバースプロキシは内容の可視化やキャッシュが可能です。
クライアントIPとヘッダー
プロキシ経由で実行する場合はX-Forwarded-Forなどで元のクライアントIPを渡し、アプリ側で正しく取得してください。
冗長性と負荷分散
複数台構成とヘルスチェックで可用性を確保してください。証明書の更新時はロールアウト手順を作成します。
監視・テスト
証明書期限、TLSハンドシェイクのエラー、暗号スイートの構成を定期的に監視し、外部のスキャナーやツールで定期検査を行ってください。
SSLターミネーションのユースケース・活用例
概要
SSLターミネーションは暗号化の入り口であるため、さまざまな場面で有効に使えます。ここでは具体的な例を挙げ、どのように役立つかを分かりやすく説明します。
1. WebサイトとAPIのHTTPS化
例: ECサイトや公開APIでTLSを終端し、内部通信は平文または別のTLSで行います。暗号化処理を集約できるためサーバー負荷を下げ、証明書管理も一元化できます。
2. 社内システムの安全な公開
例: 社内の業務アプリを外部に公開する際にリバースプロキシで終端します。アクセス制御やログ記録を集中して行えるので運用が楽になります。
3. マイクロサービスのゲートウェイ
例: 複数サービスへの入り口にゲートウェイを置き、TLSを終端してから内部サービスへルーティングします。サービス側は暗号化を気にせず開発に専念できます。
4. Docker / KubernetesのIngress Controller
例: IngressでTLSを終端し、各コンテナに安全に接続します。証明書の自動更新(Let’s Encryptなど)と組み合わせると便利です。
5. 管理を簡素化するツール利用
例: Nginx Proxy Managerやロードバランサーで証明書と設定を集中管理できます。操作がGUI化され、運用担当者の負担を減らせます。
留意点
終端後に内部通信も暗号化したい場合や、通信内容の検査(TLSインスペクション)を行う必要がある場面では設計を工夫してください。
まとめ・参考情報
NGINXによるSSLターミネーションは、通信の暗号化とサーバ負荷の分散を両立できる現代的な構成です。フロントでTLS接続を終端し、バックエンドと平文や社内間暗号でやり取りすることで、Webサーバの処理を軽くできます。
実践のポイント
- 証明書管理:Let’s Encrypt等で自動更新を設定し、期限切れを防ぎます。手動更新はリスクが高くなります。
- セキュリティ強化:TLSバージョンや暗号スイートを最新の推奨設定にし、OCSP staplingやHSTSを有効にします。
- パフォーマンス:TLSセッション再利用やHTTP/2、キャッシュ設定で応答を改善します。
- 運用:ログ監視・アラート、バックアップ、冗長構成(ロードバランサとフェイルオーバー)を整備します。
次のステップ(実務)
- テスト環境で設定を検証する。2. 自動証明書更新とモニタリングを組み込む。3. 本番切替時は段階的にロールアウトする。
参考情報(例)
- NGINX公式ドキュメント
- Let’s Encryptドキュメント
- 技術解説記事や導入動画(YouTubeの実践講座など)
用途や規模に合わせて設定を最適化すれば、安全で高速なWeb提供が可能になります。
