OpenLiteSpeed で公開している Web サ-ビスに Let’s Encrypt の証明書を使って HTTPS に対応させる。
手順は下記の通り。
- Certbot クライアントインスト-ル
- SSL / TLS サーバ証明書取得
- OpenLiteSpeed 設定
- SSL / TLS サーバ証明書自動更新化
1.Certbot クライアントインスト-ル
下記コマンドを実行して、Certbot クライアントをインスト-ルする。
apt install certbot
2.SSL / TLS サ-バ証明書取得
下記コマンドを実行して、SSL / TLS サ-バ証明書を取得する。
certbot certonly --webroot --webroot-path 公開している Web サ-ビスの DocumentRoot -d SSL / TLS サ-バ証明書を取得したいドメイン名*
対話型ダイアログにて、メ-ルアドレスの入力と幾つかの確認 (Y/n) に回答する。
*
SSL / TLS サ-バ証明書取得処理が正常終了すると、秘密鍵ファイルと証明書ファイルの格納先パスが表示される。
3.OpenLiteSpeed 設定
1.Listner 作成
『リスナ-』→『リスナ-リストの右端の +』をクリックして追加画面を表示する。
下記設定を行ったら『アドレス設定 右端のフロッピ-アイコン』をクリックして保存する。
| 設定項目 | 設定値 |
|---|---|
| リスナー名 * | Port:443 |
| ポート * | 443 |
| セキュア * | はい |
作成したリスト名をクリック→『バ-チャルホストマップの右端の +』をクリックして下記の設定を行う。
| 設定項目 | 設定値 |
|---|---|
| バーチャルホスト * | 適用したいバ-チャルホスト |
| ドメイン * | * |
2.SSL
『SSL』タブをクリックして各設定値を修正する。
SSL 秘密鍵 & 証明書
| 設定項目 | 設定値 |
|---|---|
| 秘密鍵ファイル | 2.SSL / TLS サ-バ証明書取得で取得した『privkey.pem』ファイル |
| 証明書ファイル | 2.SSL / TLS サ-バ証明書取得で取得した『fullchain.pem』ファイル |
| 証明書チェーン | はい |
SSL プロトコル
| 設定項目 | 設定値 |
|---|---|
| プロトコルバージョン | 『SSL Server Test』を参考に設定 |
3.バ-チャルホスト コンテキスト
『バ-チャルホスト』→ HTTPS 化するバ-チャルホスト名をクリックして『コンテキスト』タブをクリックする。
HSTS (HTTP Strict Transport Security) を設定する。
コンテキスト
| 設定項目 | 設定値 |
|---|---|
| タイプ * | Static |
| URI * | / |
| 場所 | $DOC_ROOT/ |
| アクセス可能 | はい |
| Header Operations | Strict-Transport-Security: max-age=31536000 |
4.SSL / TLS サーバ証明書自動更新化
『/etc/crontab』に下記行を追記して、月初の AM 4 時に SSL / TLS サーバ証明書の更新と OpenLiteSpeed の設定再読み込みが行われるようにする。
0 4 1 * * root certbot renew -q --post-hook "systemctl reload lsws"参考元
Amazon
関連記事:
-
WordPressインスト-ル (Debian 10.7 + PHP7.4.12)
Debian 10.7 に WordPress をインスト-ルする。 ミドルウェアは OpenLiteSpeed、MariaDB で構成する。
-
Let’s Encrypt を導入して Apache をHTTPS対応にする
既存の Web サ-バ- (CentOS 7.3) に Let’s Encrypt を導入して HTTPS 対応にする。
-
Qualys SSL Labs が提供している SSL Server Test の評価を A+にする (2018年01月末時点)
Web サ-バ-の SSL 設定に、既知の脆弱性が存在しないかチェックして再設定する。 SSL の脆弱性チェックには、Qualys SSL Labs が提供している『SSL Server Test』を使用する。
-
Qualys SSL Labs が提供している SSL Server Test の評価を A+にする (2020年03月末時点)
Web サ-バ-の SSL 設定に、既知の脆弱性が存在しないかチェックして再設定する。 SSL の脆弱性チェックには、Qualys SSL Labs が提供している『SSL Server Test』を使用する。