Conoha VPSでドメイン作成してNginxにアルファSSL設定をする

はじめに

自己学習のため、Nginxを使ってみたいという動機でConoha VPSを使ってみました。
その時の手順をご紹介しておこうと思います。

ちなみに、NginxはDockerではなく、サーバーに直接作成しています。
今後の目標としては、Nginxをプロキシサーバーとして使用して、Dockerコンテナーでマイクロサービスを実現していきたいと思っていますが、果たしてどこまで進めるかは未定です。

契約とサーバー作成

Conohaのページから申し込みをします。
ちなみに、自分が契約したのは10月でしたが、そのすぐ後に、50万人突破キャンペーンでさらに利用料が安くなっていて、とても悔しい思いをしました。

VPS割引きっぷを使用して契約しました。これがあるとアルファSSLが無料で使用できるとのことでした。
1GBタイプを選択しました。
(画像は記事作成時のものです。キャンペーン価格になっています)

ドメイン取得

VPSメニューのドメインからドメイン取得を選択します

使用したいドメイン名を入力して検索します

ためしに、sample-testで検索してみたらこんな結果が出てきました。

すでに使用されているものがあるようですね。
自分が使用するドメインはこれではなかったですが、どこにも使われていないものが良いと思います。
カートに追加して、必要情報を入力して支払いに進めばドメイン取得完了です。

ドメインを取得しても、まだIPアドレスとは紐づけられていません。
これは実際にサーバーを作成して、サーバーのIPとの紐づけ設定をする必要があります。

サーバー作成

メニューからサーバー追加を選択すると以下のような画面が表示されます。

イメージタイプとしてOSを選べたり、アプリケーションを選べるのですが、アプリケーションテンプレートを選択した場合、OSを選択することができません。

ヘルプを見ると、アプリケーションテンプレートによってOSやバージョンが固定されています。
これが最初よくわからなくて戸惑いました。Ubuntuにしたいのに、CentOSになっているということがありました。

何度も作り直しできるので、最初はいろいろなアプリケーションテンプレートを試すのもいいかなと思います。

自分は勉強のために使いたかったので、Ubuntuを選択して、ほかは自分で構築するようにしました。

ネームサーバー設定

メニューからDNSを選択すると、作成したドメインが表示されています(もしなかった場合は[＋ドメイン]ボタンからドメイン名を入力して保存します)。
最初は以下のものしかないかと思います。

これにサーバーのIPレコードを追加します。
サーバーのIPアドレスはサーバーメニューから作成したサーバーを選択すると表示されます。

入力値は

• A(通常)
• @
• 3600
• IPアドレス
  さらにもう一つ追加します
• A(通常)
• www
• 3600
• IPアドレス

@はexample.com
wwwはwww.example.com
というドメインに対するレコードとなります。
3600はTTL(Time To Live)の値で60分がデフォルトとなっているようです。

Nginxのインストール

作成したサーバーにログインします。Tera Termを使って入ってもいいですが、メニューからコンソール使えるのでこっちを使います。
conohaのコンソールは少しくせがあるので、使いやすいほうを選べばよいかと思います。

コンソールをクリックするとシリアルとVNCから表示を選択できるみたいです。

Ubuntuをアップデートしておきます

rootで行っていますのでsudo書いていませんが、必要に応じてコマンドの最初にsudoいれてください。

sudo apt update 

といった感じです。

apt update
apt upgrade

Nginxのインストール

apt-get install nginx

再度更新しておきます

apt update

インストールされているか確認しておきましょう

apt info nginx

Nginxを起動します

systemctl start nginx

ステータスを確認する

systemctl status nginx

こんな感じでActive: active(running)になっていればOKです

このあと、設定ファイルを作成したりしますが、正しくできていない場合、このステータス確認でエラー内容が表示されたりするので、必要に応じて確認するとよいと思います。

ファイアーウォール設定

conoha vpsでlinuxサーバーを作成した場合。22番ポートだけしか開かれていないようです。
コンソールから現在の設定状況を確認してみます。

ufw status
もしくは
ufw status verbose

verboseを付けると詳細(冗長)なステータスが表示されてポート番号も表示されます。
状態: 非アクティブ　となっていた場合は有効化します

ufw enable

NginxFullを設定する
これをすると、Nginxで使用される80番と443番ポートが開かれます。
もし一つずつ設定したい場合は個別に指定してください。

ufw allow 'Nginx Full'

これでステータスを確認するとこんな感じになります(verboseで表示しています)

ブラウザから確認

作成してドメインを入力して以下の画面が表示されたらOKです

SSL接続ファイル作成

KEY生成

nginx関係のファイルは /etc/nginx/ に作成されています。
そこでその中にsslフォルダを作成します。フォルダ名や作成するディレクトリは他でも問題はありません。

mkdir /etc/nginx/ssl

/etc/nginx/ssl/で2048bitのパスフレーズ付きの鍵を生成します。

openssl genrsa -des3 -out sample.key 2048
Enter PEM pass phrase: 任意のパスワードを入力する
Verifying - Enter PEM pass phrase: パスワード再入力

このようにすると鍵のかかったPEMファイルが作成されます
作成したsample.keyを見ると

-----BEGIN ENCRYPTED PRIVATE KEY-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END ENCRYPTED PRIVATE KEY-----

といった感じでENCRYPTEDとなっていて暗号化されているのが分かります。
Nginxでこの鍵を使用する場合、パスワードファイルも設定する必要があります。

CSR生成

openssl req -new -key sample.key -out sample.csr

ここでいくつかの質問が行われますが、必要なのは2か所です。
Country Name: JP
………
Common Name: ドメイン名　(www.example.comなど)
他は基本的にEnterキーで空のままでもいいです。
この辺りは、契約しているVPSによって異なるかもしれません。Conohaの場合はこれでいいみたいです。

作成したCSRファイルの中身をコピーします

cat /etc/nginx/ssl/sample.csr

ConohaでSSL作成する

ConohaのメニューからSSLを選択します


このCSR添付にコピーしたものを貼り付けて、CSR内容確認ボタンを押すと、入力した内容が表示されるので、次へと進んでいきます。

認証まで進むと、FQDNを選択して、www付と無しの両方が表示されるので、出てきたものを、ネームサーバー設定でドメインレコード設定に貼り付けます。

wwwなし

• TEXT
• @
• 3600
• FQDNで表示された値(globalsign-domain-verification=9F8xxxxxx..)

wwwあり

• TEXT
• www
• 3600
• FQDNで表示された値(globalsign-domain-verification=9F8xxxxxx..)

進めていって問題なければ証明書が発行されます。

CRTを生成

SSLから証明書をダウンロードします

この中で証明書(PEM)、中間証明書(ICA)を使用します。

nano /etc/nginx/ssl/sample.crt

最初に証明書(PEM)の内容を貼り付けて、次に中間証明書(ICA)の内容を貼り付けます。

-----BEGIN CERTIFICATE----- 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxx[証明書(PEM)の内容]xxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxx[中間証明書(ICA)の内容]xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----

保存します。
これで/etc/nginx/ssl/ の中にsample.key, sample.csr, sample.crtが作成されていると思います。
最後にsample.passfileを作成します。この中にはKEY生成のときに使用したPEM Pass Phraseを入力します

nano /etc/nginx/ssl/sample.passfile

パスフレーズを入力して保存しておしまい。

Nginxの設定

Nginxの設定は/etc/nginx/nginx.confにこんな風に設定されています。

  include /etc/nginx/conf.d/*.conf;
  include /etc/nginx/sites-enabled/*;

これは、/etc/nginx/conf.d/ 内の～.confファイルと/etc/nginx/sites-enabled/ 内の設定ファイルを読み込むということです。
sites-enabledは実際は、sites-availableに設定ファイルを作成して、ls -sでエイリアスを生成して利用します。複数サイト設定する際はこちらを利用しますが、今回は、/etc/nginx/conf.d/ 内に設定ファイルを作成していきます。

Nginxのconfファイルを作成

nano /etc/nginx/conf.d/sample.conf

以下の内容で記述しました

server {
  listen 80;
  server_name ドメイン(例:sample.net);
  return 301 https://$host$request_uri;
}

server {
  listen 443 ssl;
  server_name ドメイン(例:sample.net);
  ssl_certificate /etc/nginx/ssl/sample.crt;
  ssl_password_file /etc/nginx/ssl/sample.passfile;
  ssl_certificate_key /etc/nginx/ssl/sample.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256;
  ssl_prefer_server_ciphers off;
  ssl_session_cache shared:SSL:10m;
  ssl_session_timeout 10m;
  location / {
    root /var/www/html/sample;
    index index.html index.htm;
  }
  error_page 500 502 503 504 /50x.html;
  location = /50x.html {
    root /usr/share/nginx/html;
  }
}

これでhttp(80番ポート)にアクセスするとhttps(443番ポート)にリダイレクトされます。
表示されるページは root /var/www/html/sample ディレクトリ内のindex.htmlとなります。
まだこのindex.htmlファイル作成していないので、次にこれを作成します。

index.htmlファイル作成

nano /var/www/html/sample/index.html

index.htmlの中身は適当でいいですが、とりあえずこんな感じで作成しました。

<html lang="ja" xmlns="http://www.w3.org/1999/xhtml">
<head>
    <meta charset="utf-8" />
    <title>SSLページ</title>
</head>
<body>
    <h3>SSLのサンプルページです</h3>
</body>
</html>

ここまできたらあと少しです。

Nginxのリロード

設定ファイルの再読み込みなどをします。

systemctl reload nginx

このあと、ステータスを確認してActiveになっていれぱ大丈夫です。
もしエラーがあった場合は起動できず、何かしらメッセージが表示されるので確認して修正していきます。

systemctl status nginx

リロードしたらウェブページにアクセスします

鍵マークが表示されていればOKです。

おまけ

Nginxをステータスから確認する以外に、Nginxにはファイルが正しく設定されているか確認するコマンドがあります。

nginx -t

PEM Pass Phraseを尋ねられた時は、パスフレーズを入力してください。
ここまで来るのにいろいろ調べたりして時間がかかりました。
自分が試行錯誤したときにあったことは

• 設定ファイルで "}" が抜けてた
• ssl_password_file /etc/nginx/ssl/sample.passfile; がなくてNginxが起動できなかった
• .confファイルをどこに入れたり、enable, availableが何なのかよくわからなかった

などなどです。
次はdockerで作成してみようと思います。
お疲れさまでした。