VirtualBox上に構築したUbuntu20.04LTS(Desktop)にGitlabをインストールして自己署名証明書によりHTTPSアクセスする方法

「前回」、SambaをインストールしたUbuntu20.04LTS(Desktop)に、Gitlabをインストールしてみました。

GitLabをUbuntuにインストール

公式サイトの解説に従ってインストールします。

公式サイトの説明では、GitLab Enterprise Editionをインストールすることをお勧めしています。説明を見たら、お金を払わずにEnterprise Editionを使った場合でも、Community Editionを使った場合と同等であることの説明がありました。

なので、推奨の通り、Enterprise Editionをインストールします。

依存パッケージのインストール

以下のコマンドを入力して、依存パッケージをインストールします。

$ sudo apt update
$ sudo apt-get install -y curl openssh-server ca-certificates

次に、メールの通知を送信するために、Postfixをインストールします。

$ sudo apt-get install -y postfix

Postfixのインストール中に設定画面が表示されます。
もしもその時は、'Internet Site'を選択してEnterを押し、
"mail name"には、サーバーの外部DNS名を入力してEnterを押してください。もしも追加の画面が表示される場合は、デフォルト値のまま、Enterを押してください。

GitLabパッケージのリポジトリへの追加とインストール

GitLabパッケージをリポジトリに追加するため、以下のコマンドを入力します。

$ curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ee/script.deb.sh | sudo bash

次に、GitLabパッケージをインストールします。自己署名証明書（いわゆるオレオレ証明書）を使う場合、後で設定しますので、ここではhttpプロトコルでサーバーを指定します。

自分の場合、次のようになりました。

$ sudo EXTERNAL_URL="http://ubuntu-srv" apt-get install gitlab-ee

自己証明証明書を作成する

以下の記事を参考にして、自己署名証明書を作成してみます。

$ mkdir ssl
$ cd ssl
$ vi subjectnames.txt
subjectAltName = DNS:gitlab.example.jp, IP:192.168.56.2
$ openssl genrsa 2048 > server.key
$ openssl req -new -key server.key -subj "/CN=gitlab.example.jp" > server.csr
$ openssl x509 -days 3650 -req -extfile subjectnames.txt -signkey server.key < server.csr > server.crt
$ openssl x509 -in server.crt -text -noout

ここで使用している、example.jp というドメイン名は、自由に使ってよいドメイン名になります。
その解説については、以下の記事に書かれていました。

作成した証明書をgitlabに組み込んでみます。
以下の記事を参考にしました。

sudo mkdir /etc/gitlab/ssl/
sudo chmod 700 /etc/gitlab/ssl
sudo cp ./server.crt /etc/gitlab/ssl/gitlab.example.jp.crt
sudo cp ./server.key /etc/gitlab/ssl/gitlab.example.jp.key
sudo chmod 404 /etc/gitlab/ssl/gitlab.example.jp.crt
sudo chmod 400 /etc/gitlab/ssl/gitlab.example.jp.key
sudo vi /etc/gitlab/gitlab.rb

external_url 'https://gitlab.example.jp'

# 1338行目あたり
NGINXのセクション内のコメントアウトを解除します。
################################################################################
## GitLab Web server
## ! Docs: https://docs.gitlab.com/omnibus/settings/nginx.html#using-a-non-bundled-web-server
################################################################################

# nginx['ssl_certificate'] = "/etc/gitlab/ssl/#{node['fqdn']}.crt"
# nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/#{node['fqdn']}.key"
↓
nginx['ssl_certificate'] = "/etc/gitlab/ssl/gitlab.example.jp.crt"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/gitlab.example.jp.key"

設定を有効にする

以下のコマンドを投入し、再設定します。

$ sudo gitlab-ctl reconfigure
$ sudo gitlab-ctl restart

hostsファイルを修正する

WindowsPCのhostsファイルを修正します。
hostsファイルは、C:\Windows\System32\drivers\etc に保存されています。

ホストファイルは、書き込み保護がされているので、ファイルのプロパティ-セキュリティタブから編集ボタンをクリックします。

Usersを選択し、アクセス許可からフルコントロールにチェックを入れ、OKボタンをクリックします。警告のダイアログが出ますが、受け入れてください。

ファイルを開いて、以下の内容を追加します。
設定値については、適宜自分のサーバー設定に合わせて変更してください。

192.168.56.2 gitlab.example.jp

編集が完了したら、アクセス許可の設定を元に戻してください。
フルコントロール、変更、書き込みのチェックを外して、OKボタンを押すと元に戻ります。

ブラウザに自己署名証明書を取り込む

以下のURLにアクセスします。アクセスすると赤くなると思います。

https://gitlab.example.jp

保護されていない通信の部分をクリックして、警告を参照します。

証明書（無効）となっている部分をクリックして、証明書を確認します。

詳細タブから、ファイルにコピーのボタンをクリックします。

証明書のエクスポートウィザードが始まるので、すべてデフォルトを受け入れて、証明書ファイルを保存してください。

証明書ファイルが保存できたら、保存した証明書ファイルをダブルクリックして、証明書ファイルを信頼されたルート証明機関に登録します。

この辺の詳しいやり方については、この解説記事に詳しく書かれています。

解説記事のとおりではあるのですが、実際にやってみて記事にしないといけないなと思い、やってみます。

証明書をダブルクリックすると以下のようなエラーっぽい証明書が表示されます。自己署名証明書なので、この証明書を信頼されたルート証明書機関ストアにインストールしてください。という指示が表示されています。

証明書のインストールのボタンをクリックし、インポートウィザードを起動します。

保存場所は、現在のユーザーで構いません。次へボタンをクリックします。

証明書をすべて次のストアに配置するを選択し、参照ボタンをクリックします。

証明書のストアは、信頼されたルート証明機関を選択し、OKボタンをクリックします。

選択できたので、次へボタンをクリックします。

完了ボタンをクリックします。
セキュリティ警告のポップアップが表示されるので、はいを選択し、受け入れます。

正しくインポートされましたと表示されたら、終了です。

確認

すべてのChromeウィンドウを閉じて、サイトにアクセスしてみます。

赤い表示が消えました。

おわりに

とりあえず、以上で記事は終了になります。