Help us understand the problem. What is going on with this article?

Certificate Managerで無料SSL証明書を発行しhttpsでサイトが見れるようになるまで

More than 1 year has passed since last update.

経緯

  • 自作のサイトにhttpsで接続することになりました。
  • 調べるとAWSでは無料でSSL証明書を発行できるようです。
  • で、やってみました。

「AWSの無料SSL対応したいのだけどどうすれば・・」という方向けです。
間違いあれば指摘して頂けると嬉しいです。

やること

  • Certificate Managerで証明書発行
  • ELBでロードバランサを作成、アタッチ
  • Route53でAlias設定
  • Amazon LinuxのApache設定

※Amazon Linux上では既に何らかのウェブサイトが稼働していて、httpでブラウザから見れる状態とします。
※ドメインもRoute53で設定済みの状態とします。
※Apacheは2.4系です

本編

Certificate Managerで証明書発行

スクリーンショット 2018-02-26 17.34.40.png

「証明書のリクエスト」をクリックします。

スクリーンショット 2018-02-26 17.35.08.png

設定したいドメイン名を入力し次へ。

スクリーンショット 2018-02-26 17.35.39.png

「Eメールの検証」を選択し次へ
Eメールを選択するとドメインのwhoisに設定されたメールアドレス、または特定のメールアドレスにメールが来ます。
ここは後述します。
DNSの方は、、よく分からんかった

スクリーンショット 2018-02-26 17.35.58.png

「確定とリクエスト」をクリックします。

メールについては、お名前など使っている場合whoisのメルアドが自分らのものではありません。
AWSのFAQにお客様によってリクエストされたドメイン名の前に admin@、administrator@、hostmaster@、webmaster@、および postmaster@ を付加して生成された 5 つの特別なメールアドレスにも E メールが送られます。とあるので、この辺りのアドレスを受信可能な状態にしてメールを受け取ります。
https://aws.amazon.com/jp/certificate-manager/faqs/

メール内の承認用リンクをクリックすると承認が完了します。

ELBでロードバランサを作成、アタッチ

Certificate Managerで作成した証明書はEC2に直接設定することはできません。
ELBにアタッチしての使用となります。

スクリーンショット 2018-02-27 11.19.24.png

「ロードバランサーの作成」をクリック

スクリーンショット 2018-02-27 11.19.42.png

「Application Load Balancer」を選択

スクリーンショット 2018-02-27 11.20.10.png

名前:好きな名前を
スキーマ:インターネット向け
アドレスタイプ:ipv4

リスナー:HTTPの他にHTTPSを追加

アベイラビリティーゾーン:全部チェック

「セキュリティ設定の構成」をクリック

スクリーンショット 2018-02-27 11.21.17.png

ここで先ほどの証明書が登場します。

証明書タイプ:「ACMから証明書を選択する(推奨)」を選択し、下のプルダウンから先ほど作成した証明書を選択します。
セキュリティーポリシー:特にいじってないです

スクリーンショット 2018-02-27 11.21.29.png

セキュリティグループの設定ではHTTP、HTTPS、SSHが通るよう設定しました。

スクリーンショット 2018-02-27 11.21.48.png

ルーティングの設定は、名前を決めただけで後はデフォルト

スクリーンショット 2018-02-27 11.22.27.png

ターゲットの登録で、インスタンスを選択します

スクリーンショット 2018-02-27 11.22.47.png

これでELBの設定は完了です。

Route53でAlias設定

スクリーンショット 2018-02-26 17.56.04.png

既にRoute53を使っていた場合、ドメインの設定がCNAMEでEC2のIPを打っていたと思いますが、
AliasをYesにするとAlias Targetに先ほど作成したELBが現れるのでそれを選択します。
選択したら「Save Record Set」をクリックし確定します。

Amazon LinuxのApache設定

Route53でエイリアスまで設定してブラウザからhttpsで見ようとすると
502 Bad Requestとなりました。

apacheのerror_logを確認するとmod_sslが入っていないとの事だったので設定します。

mod24_sslインストール

console
$ sudo yum install -y mod24_ssl

バーチャルホスト設定

hoge.conf
<VirtualHost *:80>
    DocumentRoot /var/www/hoge/fuga/piyo
    ServerName hoge.fuga.com

    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

    <Directory "/var/www/hoge/fuga/piyo">
        Options Indexes FollowSymlinks
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

apache再起動

console
$ sudo service httpd restart

参考

https://qiita.com/ozw/items/05a6f4d1addaa557f70a
https://qiita.com/michimani/items/88973c5e2ae76a8e84aa
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-an-instance.html
https://aws.amazon.com/jp/certificate-manager/faqs/

hellscare
コーディングから経営まで、なんでもやります。健康第一。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした