独創アプリ開発日記

独創アプリ開発日記 36日目 サイトのSSL化

コメントする

今日はサイトをSSLに対応させていました。

SSL証明書はLet’s encryptを使い、自動更新設定をしました。WebサーバはOpenLiteSpeedで、証明書を適用したhttpsのリスナーを追加し、既存のhttpからリダイレクトさせるようにしました。

で、ご覧のようにURLを見ていただくと、ちゃんと鍵マークが出ているかと思います。

以下、やったことの殴り書きです。CentOS7です。HTTP/2と合わせて、超快適なサイトになりました!

rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum install certbot

certbot certonly –webroot -w /usr/local/lsws/VirtualHost1/ -d minnano.app
“Enter email address (used for urgent renewal and security notices) (Enter ‘c’ to
cancel):[メールアドレスを指定]”
(A)gree/(C)ancel: A
(Y)es/(N)o: N
IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/minnano.app/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/minnano.app/privkey.pem
Your cert will expire on 2018-02-16. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
certbot renew
– Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
– If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

OpenLiteSpeedの管理サイトから、HTTPSのListenerを作成
Listener Name : minnano.app
Port : 443
Secure : YES

Listeners –> minnano.app –> General –> Virtual Host Mappings –> Add
Virtual Host : uka.apple
Domains : minnano.app

Listeners –> minnano.app –> SSL
Private Key File : /etc/letsencrypt/live/minnano.app/privkey.pem
Certificate File : /etc/letsencrypt/live/minnano.app/fullchain.pem
Chained Certificate : Yes

Listeners –> minnano.app –> SSL –> SSL Protocol.
Protocol Version : 次を全てチェック SSL v3.0/TLS v1.0/TLS v1.1/TLS v1.2/TLS v1.3

vi /etc/sysconfig/iptables
-A INPUT -p tcp -m state –state NEW -m tcp –dport 443 -j ACCEPT
systemctl restart iptables

Virtual Host –> uka.apple –> Rewrite –> Rewire Rules
先頭に以下2行を追加
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

OpenLiteSpeedを再起動し、https://minnano.appへアクセスして確認

証明書の自動更新
certbot renew –dry-run

正常に動作したことを確認後、cronへ登録
vi /etc/cron.d/letsencrypt
18 3 * * 2 root /usr/bin/certbot renew –post-hook “systemctl restart lsws”
毎週火曜の3時18分にrenewが起動する

WordPressの設定変更
設定 -> 一般
WordPress アドレス (URL) : https://minnano.app/support
サイトアドレス (URL) : https://minnano.app/support

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です