【ラズパイ】NginxをSSLに対応させる HTTPS化

Linux
2022.03.22

NginxサーバーをSSLに対応させたい

Nginxの設定が難しい

そんな悩みにお答えします。

今回はLet’s Encryptを使って、NginxをSSLに対応させる方法を紹介します。

環境

以下の環境で動作確認済みです。

  • Raspberry Pi 4
  • Raspberry Pi 3 Model b+

Let’s Encryptとは何者か

Let’s Encrypt(レッツ エンクリプト) とは、SSL通信を行うための証明書を発行してくれる認証局です。

Let's Encrypt - フリーな SSL/TLS 証明書
Let's Encryptは、非営利団体の Internet Security Research Group (ISRG) が提供する自動化されたフリーでオープンな認証局です。
letsencrypt.org

特徴は、無料で誰でも簡単にできるという点です。

今回はこのLet’s Encryptを利用します。

Nginxのインストール

こちらの記事で解説しています。

ラズパイにNginxをインストールする
Raspberry Pi(ラズパイ)にNginxをインストールする方法を紹介します。aptコマンドを実行するだけなので、一分もかかりません。起動・停止のコマンドも紹介します。
gafuburo.net
2022.03.22

解説と言ってもコマンドを一つ実行するだけです。(笑)

Let’s Encryptで証明書を発行

こちらの記事を参考にさせていただきました。

ラズパイwebサーバをhttpsに対応させた - Qiita
#はじめに以前、ラズパイでwebサーバをつくる記事を書いたのですが、httpしか対応していませんでした。検証用サーバなのでこれで十分なのですが、アクセスした時にアドレスバーに安全ではありませんっ…
qiita.com

インストール

Let’Encryptで証明書を発行、更新する際に必要なアプリをインストールします。

sudo apt install certbot

証明書の発行

インストールが終わったら、以下のコマンドを実行します。

sudo certbot certonly

いくつか質問されます。

Select the appropriate number [1-2] then [enter] (press 'c' to cancel)2
Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel)メールアドレス
(A)gree/(C)ancelA
(Y)es/(N)oY
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel)ドメイン名
サブドメイン含む
Input the webroot for sample.comドキュメントルート

こちらの例では、gafuburo.netとしています。

Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Spin up a temporary webserver (standalone)
2: Place files in webroot directory (webroot)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Plugins selected: Authenticator webroot, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): ご自身のメールアドレス

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at

https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf.
letsencrypt.org
 You must
agree in order to register with the ACME server at

https://acme-v02.api.letsencrypt.org/directory
acme-v02.api.letsencrypt.org

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): ドメイン(サブドメインも含める)
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for gafuburo.net
Input the webroot for gafuburo.net: (Enter 'c' to cancel): ドキュメントルート
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/gafuburo.net/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/gafuburo.net/privkey.pem
   Your cert will expire on 2022-06-20. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

/etc/letsencrypt/live/ドメイン名/fullchain.pem
/etc/letsencrypt/live/ドメイン名/privkey.pem

必要な鍵ファイルが生成されます。

エラーが出た方場合は、ポート開放などの設定がうまくできていない可能性があります。

Nginxの設定

設定ファイルを編集します。

sudo nano /etc/nginx/sites-available/default

server { }の中身を編集します。

以下をコメントアウト(先頭に#をつける)

listen 80 default_server;
listen [::]:80 default_server;

#listen 80 default_server;
#listen [::]:80 default_server;

#をつけると行が青くなります。

以下を追記します。
先ほど取得した鍵ファイルのパスです。

listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/ドメイン名/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ドメイン/privkey.pem;

このようになっているはずです。

##
# You should look at the following URL's in order to grasp a solid understanding
# of Nginx configuration files in order to fully unleash the power of Nginx.
# https://www.nginx.com/resources/wiki/start/
# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
# https://wiki.debian.org/Nginx/DirectoryStructure
#
# In most cases, administrators will remove this file from sites-enabled/ and
# leave it as reference inside of sites-available where it will continue to be
# updated by the nginx packaging team.
#
# This file will automatically load configuration files provided by other
# applications, such as Drupal or WordPress. These applications will be made
# available underneath a path with that package name, such as /drupal8.
#
# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
##

# Default server configuration
#
server {
	#listen 80 default_server;
	#listen [::]:80 default_server;

	# SSL configuration
	#
	# listen 443 ssl default_server;
	# listen [::]:443 ssl default_server;
	#
	# Note: You should disable gzip for SSL traffic.
	# See: https://bugs.debian.org/773332
	#
	# Read up on ssl_ciphers to ensure a secure configuration.
	# See: https://bugs.debian.org/765782
	#
	# Self signed certs generated by the ssl-cert package
	# Don't use them in a production server!
	#
	# include snippets/snakeoil.conf;

	listen 443 ssl;
	ssl_certificate /etc/letsencrypt/live/gafuburo.net/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/gafuburo.net/privkey.pem;

	root /var/www/html;

	# Add index.php to the list if you are using PHP
	index index.html index.htm index.nginx-debian.html;

	server_name _;

	location / {
		# First attempt to serve request as file, then
		# as directory, then fall back to displaying a 404.
		try_files $uri $uri/ =404;
	}

	# pass PHP scripts to FastCGI server
	#
	#location ~ \.php$ {
	#	include snippets/fastcgi-php.conf;
	#
	#	# With php-fpm (or other unix sockets):
	#	fastcgi_pass unix:/run/php/php7.3-fpm.sock;
	#	# With php-cgi (or other tcp sockets):
	#	fastcgi_pass 127.0.0.1:9000;
	#}

	# deny access to .htaccess files, if Apache's document root
	# concurs with nginx's one
	#
	#location ~ /\.ht {
	#	deny all;
	#}
}


# Virtual Host configuration for example.com
#
# You can move that to a different file under sites-available/ and symlink that
# to sites-enabled/ to enable it.
#
#server {
#	listen 80;
#	listen [::]:80;
#
#	server_name example.com;
#
#	root /var/www/example.com;
#	index index.html;
#
#	location / {
#		try_files $uri $uri/ =404;
#	}
#}

Nginxを再起動します。

sudo systemctl restart nginx

これで、https:// でアクセスできるようになりました。

分からない、できない、質問等あれば、コメントまでよろしくお願いします。

コメント