LoginSignup
0
0

More than 1 year has passed since last update.

@Ryo-0131(Citrus Tech)

AWS Ubuntu18+Apache2.4のVirtualHostで構築したWordpressサイトをLet’s EncryptのCerbotでSSL化する方法

Posted at

概要

環境

  • Mac
    • 機種ID:MacBookPro18,3
    • macOS:Monterey
    • チップ:Apple M1 Pro
    • メモリ:16GB

前提

  • サーバーはAWS EC2インスタンスで、OSはUbuntu 18.04.3 LTSです。
  • 現行HPのドメイン第1弾を、sample.comとします。
    • こちらは既にSSL対応済みです。
  • 追加するHPのドメイン第2弾を、wp.sample.comとします。
    • 第2弾は、WordPressを利用しています。まだSSL化していません。
  • どちらも、お名前.comで以下のようにDNSレコード登録されています。
    • TYPE:A
    • TTL:300
    • VALUE:同じIPアドレス(EC2のパブリック IPv4 アドレス(=Elastic IP)と紐づいています)
  • ウェブサーバーは、 Apache/2.4.29です。
  • Let's Encrypt(レッツ・エンクリプト)でSSL証明書発行済みとします。
    • Let's EncryptはSSL証明書を無料で提供している認証局(CA)の一つです。ACME (Automatic Certificate Management Environment) プロトコルを使用して発行します。
    • Certbot(サートボット)は、ACME(自動証明書管理環境)クライアントの一つで、Let’s Encrypt®からも使用を推奨された信頼性の高いソフトウエア。サーボットを使うと、Let's EncryptからSSL証明書を自動的に取得し、ウェブサイトに適用することができます。
    • 証明書の有効期限は90日間なので、運用時はcron追加(定期的にスクリプトを実行)が必要だと思います。
  • certbotはインストール済みとします。
    • 正常に完了していれば、ディレクトリ/etc/letsencrypt/live/[コモンネーム]/に証明書が自動保存されています。
    • ファイル名・設定ディレクティブ・説明については、以下の記事に表があるのでご参考ください。

(本来の)SSL化対応手順

  • 以下、本来想定される手順です。ただ、自分の場合、うまくできなかったので、実際にできた手順は後述します。
  • 以下のコマンドを実行します。複数候補ある場合、以下のように返ってくるので、今回は2を選びます。
$ sudo certbot

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: sample.com
2: wp.sample.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 2
  • すると、以下のように実行し始めます。
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for wp.sample.com
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/wpsample_homepage-le-ssl.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-available/wpsample_homepage-le-ssl.conf
  • そして、またどっちか選べと言われます。Redirectして欲しいので、2を選びました。
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Redirecting vhost in /etc/apache2/sites-enabled/wpsample_homepage.conf to ssl vhost in /etc/apache2/sites-available/wpsample_homepage-le-ssl.conf
  • すると、以下のようにCongratulations!と出てきます。これで成功ですね。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://wp.sample.com

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=wp.sample.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  • 以下でApacheを再起動し、めでたしめでたし...
$ sudo service apache2 restart
  • と思ったら、第2弾のURL(wp.sample.com)にアクセスすると、なぜか第1弾のURL(sample.com)に移行してしまいました。
  • なんじゃ〜!?と焦りながらも、変更が加わった以下の二つのファイルをよく見ると、何だか第1弾のVirtualHostの方に上書きされているっぽいことがわかったので、調べながらいざ編集開始。

最終的にはこの形で正常にSSL化できます

$ cd /etc/apache2/sites-available
$ sudo vi wpsample_homepage.conf
  • wpsample_homepage.confを以下のように編集します。
    • デフォルトは000-default.confというファイルです。それをCOPYして編集していくのが一般的だと思います。
<VirtualHost *:80>
## 第1弾は省略
</VirtualHost>
<VirtualHost *:80>
    DocumentRoot /var/www/html/wpsample_homepage
    ServerAdmin sample@sample.com
    ServerName wp.sample.com
  <Directory "/var/www/html/wpsample_homepage">
     Require all granted
     AllowOverride All
  </Directory>
    ErrorLog ${APACHE_LOG_DIR}/sample_homepage-error.log
    CustomLog ${APACHE_LOG_DIR}/sample_homepage-access.log combined
RewriteEngine on
RewriteCond %{SERVER_NAME} =wp.sample.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
  • [END,NE,R=permanent]のところは、[R=301,L]と指定しても同じです。先ほどRedirectで2を選ぶとここに記載されるようになります。
    • permanentは、301 Moved PermanentlyのHTTPステータスコードを指定しています。リクエストされたページを新しいURLにリダイレクトするという意味では同じです。WSとドメインを紐づけるとこう表示されるのだと思います、ネットでは301の方が多いですね。AWSでは通常ELBなどを使いますが、アプリケーション側でリダイレクトルールを定義している場合は、[END,NE,R=permanent]が使用されることがあるようです。
$ sudo vi wpsample_homepage-le-ssl.conf
  • wpsample_homepage-le-ssl.confを以下のように編集。
    • こちらも、第1弾のVirtualHostのところのServerAlias SSLCertificateFileの参照先が、第2弾の方になっていました。あれれ、どこでミスったんだろう...
    • ということで、以下のように編集。
<IfModule mod_ssl.c>
<VirtualHost *:443>
## 第1弾は省略
</VirtualHost>
</IfModule>
## ここからが第2弾
<IfModule mod_ssl.c>
<VirtualHost *:443>
        DocumentRoot /var/www/html/wpsample_homepage
        ServerAdmin sample@sample.com
        ServerName wp.sample.com

Include /etc/letsencrypt/options-ssl-apache.conf
ServerAlias wp.sample.com
SSLCertificateFile /etc/letsencrypt/live/wp.sample.com/fullchain.pem # 今回取得した証明書
SSLCertificateKeyFile /etc/letsencrypt/live/wp.sample.com/privkey.pem # 今回取得した証明書
</VirtualHost>
</IfModule>
  • 以下でApacheを再起動すると、、、
$ sudo service apache2 restart
  • 第2弾URLのSSL対応https://xxxxx.comにアクセスすると、無事に表示されました!
    • SSLの鍵マークもついています!
    • もちろん、第1弾の方も正常に表示されます。
  • ちなみに、DocumentRootを何もしていない場合、デフォルトにルーティングされるので、以下の画面になります。

image.png

  • また、第2弾はWordpressで実装していたので、WordpressのプラグインReally Simple SSLを事前に有効化していました(放置してましたw)。
    • 上記作業前の画面がこちら。

image.png

  • 実施後は、以下のようにSSLが有効化済みであることがわかります。他にもやれってたくさんきていますが...笑

image.png

  • また、一般設定の「WordPress アドレス (URL)」と「サイトアドレス (URL)」も自動でhttpsになっているはずです。
    • wp.sample.comは例ですが、以下のように切り替わっています

image.png

  • SSL対応はサーボットでできるので、WordPressのSSL有効化プラグインは不要ですね...
    • プラグインは、リクエストがあるたびに、動的に接続の都度 httpから httpsへ変換させるため、システムへの負荷を多少なりとも増やしてしまうことになるそうです
    • ただし、一部のプラグインやテーマによって生成されるHTTPのリソースがHTTPSに変更されないこともあるらしく、その場合は、Really Simple SSLのようなプラグインで自動的にHTTPSに変更する必要はありそうです。
  • VirutalHostって便利ですよね。ネットを拝見すると最大10個のWordpressを一つのサーバーで動かしている猛者もいるらしく...自分みたいに二つ(それもサブディレクトリURLだったら)くらい一つのサーバーで運用している方はたくさんいそうですね。ただ、使用するサーバーのスペックやアクセス数やトラフィック量など様々な要因から考慮する必要があります。

参考記事

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0