このブログにフリーのSSL証明書(Let’s Encrypt)を導入していましたが、自動更新設定をしていなかったので、期限切れを起こしてブラウザに警告画面を出してしまいました…
この教訓を元に今回はBitNamiアプリケーションのWordPressを使用している方でやり方にたどり着かなった方向けに書いていきます。
Google Cloud Platform(GCP)の「Marketplace」から 「wordpress with nginx and ssl certified by bitnami」 を入れた方が主な対象ですが、BitNamiアプリから自力でWordPressを入れた方でもおそらく大丈夫です。
※ドメインとサーバーIPの紐付けが完了していることが前提です。
ステップ1:Legoクライアントをインストールする
以下のコマンド実行して、Legoクライアントをインストールします。X.Y.Zの箇所はダウンロードしたアーカイブファイルの実際のバージョン番号に置き換えてください。
[bash]
$ cd /tmp
$ curl -Ls https://api.github.com/repos/xenolf/lego/releases/latest | grep browser_download_url | grep linux_amd64 | cut -d ‘"’ -f 4 | wget -i –
$ tar xf lego_vX.Y.Z_linux_amd64.tar.gz
$ sudo mkdir -p /opt/bitnami/letsencrypt
$ sudo mv lego /opt/bitnami/letsencrypt/lego
[/bash]
ステップ2:SSL証明書を生成する
すべてのBitNamiサービスを停止します。
[bash]
$ sudo /opt/bitnami/ctlscript.sh stop
[/bash]
以下のコマンドでドメインに対してSSL証明書を発行します。 DOMAINを実際のドメイン名に、EMAIL-ADDRESSをメールアドレスに置き換えてください。
[bash]
$ sudo /opt/bitnami/letsencrypt/lego –tls –email="EMAIL-ADDRESS" –domains="DOMAIN" –path="/opt/bitnami/letsencrypt" run
[/bash]
ステップ3:SSL証明書を使用するようにWebサーバーを構成する
今回はNGINXのみ記載しますが、生成された証明書のファイルは以下にありますのでシンボリックリンク(WindowsOSで言うところのショートカット)をnginxフォルダ内に作成します。DOMAIN実際のドメインに置き換えてください。
[bash]
$ ls /opt/bitnami/letsencrypt/certificates
DOMAIN.key DOMAIN.crt
$ sudo ln -sf /opt/bitnami/letsencrypt/certificates/DOMAIN.key /opt/bitnami/nginx/conf/server.key
$ sudo ln -sf /opt/bitnami/letsencrypt/certificates/DOMAIN.crt /opt/bitnami/nginx/conf/server.crt
$ sudo chown root:root /opt/bitnami/nginx/conf/server*
$ sudo chmod 600 /opt/bitnami/nginx/conf/server*
[/bash]
すべてのBitNamiサービスを開始します。
[bash]
$ sudo /opt/bitnami/ctlscript.sh start
[/bash]
ステップ4:WebサイトのSSL化をテストする
https://DOMAINにアクセスして、以下のようなステータスになっているか確認してください。(Chromeブラウザで警告画面が出る場合手順をやり直してください)
ステップ5:SSL証明書を自動更新するよう設定する
発行が無料であるLet’s Encrypt証明書は90日間のみ有効です。毎回3ヶ月毎に手動でするのは面倒くさいので、自動化します。
まずは証明書更新スクリプトを作成してください。
[bash]
$ sudo vi /opt/bitnami/letsencrypt/scripts/renew-certificate.sh
[/bash]
次の内容をスクリプトに入力して保存してください。DOMAINを実際のドメイン名に、EMAIL-ADDRESSをメールアドレスに置き換えてください。
[bash]
#!/bin/bash
sudo /opt/bitnami/ctlscript.sh stop
sudo /opt/bitnami/letsencrypt/lego –tls –email="EMAIL-ADDRESS" –domains="DOMAIN" –path="/opt/bitnami/letsencrypt" renew –days 90
sudo /opt/bitnami/ctlscript.sh start
[/bash]
スクリプトを実行可能にします。
[bash]
$ sudo chmod +x /opt/bitnami/letsencrypt/scripts/renew-certificate.sh
[/bash]
crontab登録用のテキストファイルを作成します。登録用なのでファイル名は何でも良いですが、自分は以下のようにしました。
[bash]
$ vi set_crontab.txt
[/bash]
次の内容をテキストに入力して保存してください。 毎月1日にスクリプトrenew-certificate.shを実行し、結果を破棄するという処理内容です。
0 0 1 * * /opt/bitnami/letsencrypt/scripts/renew-certificate.sh 2> /dev/null次のコマンドを実行して、crontabに登録します。オプションlでcrontabに登録されている実行ジョブが 一覧で確認できます。
[bash]
$ sudo crontab set_crontab.txt
$ sudo crontab -l
0 0 1 * * /opt/bitnami/letsencrypt/scripts/renew-certificate.sh 2> /dev/null
[/bash]
以上になります。設定、お疲れさまでした!
よいサーバー運用管理を!
参考:Generate And Install A Let’s Encrypt SSL Certificate For A Bitnami Application