先日、いつの間にかociのLBの証明書(ZeroSSLで発行)の期限が切れてしまっていたことに気づいたので、久しぶりにcertbotで証明書を作成してみましたが、LBの証明書を更新した後ブラウザからアクセスできなくなってしまいました。
色々調べたところ、Let’s Encryptの暗号化方式がECDSAになった(参考ページ)のですが、これまでLBのリスナーで使っていた暗号スイートoci-default-ssl-cipher-suite-v1がこの暗号化方式に対応しておらず、この証明書に対応できなくなったのが原因でした。暗号スイートをoci-tls-12-13-ssl-cipher-suite-v3に変更したところ、アクセスできるようになりました。ちなみにterraformのtfファイルでは以下のように指定。
resource "oci_load_balancer_listener" "oci_listener" {
#Required
default_backend_set_name = oci_load_balancer_backend_set.oci_backend_set.name
load_balancer_id = oci_load_balancer_load_balancer.oci_load_balancer.id
name = "oci_listener"
protocol = "HTTP"
port = 443
ssl_configuration {
certificate_name = "${oci_load_balancer_certificate.oci_certificate.certificate_name}"
verify_peer_certificate = false
cipher_suite_name = "oci-tls-12-13-ssl-cipher-suite-v3"
protocols = ["TLSv1.2","TLSv1.3"]
}
}
Comments