Let's Encrypt と Certbot を使用して Nginx インスタンスで HTTPS を有効にする

Lightsail コンソール にサインインします。

Lightsail ホームページのインスタンスタブで、接続するインスタンスの SSH クイック接続アイコンを選択します。

Lightsail のブラウザベースの SSH セッションに接続したら、次のコマンドを入力してインスタンスのパッケージを更新します。

sudo apt-get update

次のコマンドを入力してソフトウェアプロパティパッケージをインストールします。Certbot の開発者は、パーソナルパッケージアーカイブ (PPA) を使用して Certbot を配布します。ソフトウェアプロパティパッケージを使用すると、PPA をより効率的に操作できます。

sudo apt-get install software-properties-common -y

次のコマンドを入力して apt を更新し、新しいリポジトリを含めます。

sudo apt-get update -y

次のコマンドを入力して Cerbot をインストールします。

sudo apt-get install certbot -y

これで Lightsail インスタンスに Cerbot がインストールされました。

このチュートリアルの前のステップで使用したのと同じブラウザベースの SSH ターミナルウィンドウで、次のコマンドを入力してドメインの環境変数を設定します。ドメインは、必ず登録済みドメイン名の名前に置き換えてください。

DOMAIN=domain
WILDCARD=*.$DOMAIN

例:

DOMAIN=example.com
WILDCARD=*.$DOMAIN

次のコマンドを入力し、変数が正しい値を返すことを確認します。

echo $DOMAIN && echo $WILDCARD

次のような結果が表示されます。

次のコマンドを入力して Certbot をインタラクティブモードで起動します。このコマンドでは、DNS チャレンジで手動認可を使用してドメインの所有権を検証することを Certbot に指示します。また、最上位ドメインとそのサブドメイン用にワイルドカード証明書をリクエストします。

sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly

更新とセキュリティの通知に使用されるため、プロンプトが表示されたら E メールアドレスを入力します。

Let's Encrypt の利用規約をお読みください。読み終わり、同意する場合は A キーを押します。同意しない場合は、Let's Encrypt 証明書を取得できません。

E メールアドレスの共有と IP アドレスのログ記録に関するプロンプトに適宜応答します。

Let's Encrypt では、指定したドメインを所有していることを確認するように求められます。これを行うには、ドメインの DNS レコードに TXT レコードを追加します。以下の例に示すように 2 組の TXT レコード値が提供されます。

左側のナビゲーションペインで [ドメインと DNS] を選択します。

ページの [DNS ゾーン] セクションで、Certbot 証明書リクエストで指定したドメインの DNS ゾーンを選択します。

DNS ゾーンエディタで [DNS records] (DNS レコード) を選択します。

[レコードの追加] を選択します。

[Record type] (レコードタイプ) のドロップダウンメニューで [TXT record] (TXT レコード) を選択します。

Let's Encrypt 証明書のリクエストで指定された値を [Record name] (レコード名) と [Responds with] (応答) フィールドに入力します。

[保存] を選択します。

ステップ 4～7 を繰り返して、Let's Encrypt の証明書リクエストで指定された 2 番目の TXT レコードのセットを追加します。

Lightsail コンソールのブラウザウィンドウは、このチュートリアルで後ほど戻るので開いたままにします。このチュートリアルの次のセクションに進みます。

新しいブラウザウィンドウを開き、https://mxtoolbox.com/TXTLookup.aspx に移動します。

次の内容をテキストボックスに入力します。domain は実際のドメインに置き換えてください。

_acme-challenge.domain

例:

_acme-challenge.example.com

[TXT Lookup (TXT ルックアップ)] を選択して確認を行います。

以下のいずれかのレスポンスが返されます。

インスタンスのLightsailブラウザベースの SSH セッションで、Enter キーを押して Let's Encrypt SSL 証明書リクエストを続行します。成功すると、次のスクリーンショットに示すようなレスポンスが表示されます。

証明書、チェーン、およびキーファイルが /etc/letsencrypt/live/domain/ ディレクトリに保存されたことを確認するメッセージが表示されます。domain は、実際のドメイン (/etc/letsencrypt/live/example.com/ など) に置き換えてください。

メッセージに記載されている有効期限を書き留めておきます。この期限日までに証明書を更新する必要があります。

Nginx インスタンスの SSH セッションで、次のコマンドを入力して基盤となるサービスを停止します。

sudo systemctl stop nginx
sudo systemctl stop mariadb
sudo systemctl stop php8.2-fpm

次のようなレスポンスが表示されます。

次のコマンドを入力してドメインの環境変数を設定します。コマンドのコピー＆ペーストで、より効率的に証明書ファイルにリンクを張れます。domain は登録済みのドメイン名に置き換えてください。

DOMAIN=domain

例:

DOMAIN=example.com

次のコマンドを入力し、変数が正しい値を返すことを確認します。

echo $DOMAIN

次のような結果が表示されます。

以下のコマンドを実行して SSL 設定を変更します。

sudo sed \
-i -e "s|ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem|ssl_certificate /etc/letsencrypt/live/$DOMAIN/fullchain.pem|g" \
-i -e "s|ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key|ssl_certificate_key /etc/letsencrypt/live/$DOMAIN/privkey.pem|g" \
/etc/nginx/conf.d/default.conf

default.conf ファイルを上書きしたら、以下のコマンドを実行して設定を確認し、Nginx を再起動します。

sudo nginx -t
sudo systemctl restart nginx
sudo systemctl restart mariadb
sudo systemctl restart php8.2-fpm

次のような結果が表示されます。

Nginx インスタンスが SSL 暗号化を使用するように設定され、トラフィックが HTTP から HTTPS にリダイレクトされるようになりました。