Raspberry Pi(Raspbian Stretch)にNginx+Let’s EncryptでSSLウェブサーバ構築

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

少し前の記事でWebサーバー使わないので…と言ってPHPだけインストールしたが、何だかんだでWebサーバ必要になったので入れることにした。NginxがApacheより軽いらしいのでスペックに余裕があるわけでもないし使ってみる。


IoT用なのでマルチドメイン設定はしていません。
Nginx触るの初めてなので改善点とかあったら教えていただけると幸いです。

執筆時の環境

  • Raspbian Stretch (Kernel 4.9)
  • Nginx 1.10.3

構築方法

Nginxインストール

とりあえずapt-get


sudo apt-get install nginx

インストールすると勝手に起動するはず。念のため確認


sudo nginx -v
sudo systemctl status nginx

このままだとHTMLファイルなどをおけないのでドキュメントルートの所有者を変更しておく。


sudo chown -R pi /var/www/html
sudo chgrp -R pi /var/www/html

Certbot(Let’s Encrypt)インストール、構築

やっぱりapt-getしてから設定スクリプトを走らせる


sudo apt-get install certbot
sudo certbot certonly

Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel): Your Domain
Press 1 [enter] to confirm the selection (press 'c' to cancel): 1
Input the webroot for Your Domain: (Enter 'c' to cancel): /var/www/html

これでSSL証明書が取得できる。また、自動更新されるよう/etc/cron.d/certbotに自動で設定される。
ただ、nginxを再起動しないと新しいSSL証明書が反映されないので更新後再起動するようにcertbotを書き換える。


vim /etc/cron.d/certbot

certbotを開いたら、… certbot -q renew …の末尾に「&& systemctl restart nginx.service」を追加する。

PHP-fpmインストール

PHP-fpmと必要そうなモジュールインストール


sudo apt-get install php7.0-fpm php7.0-dev php7.0-mysql php7.0-sqlite3 php7.0-gd php7.0-mbstring php7.0-curl php-pear php7.0-mcrypt php7.0-xml php7.0-xmlrpc php7.0-zip php7.0-imap ssl-cert

Nginx設定

設定ファイルのバックアップを取ってから設定する。
毎回パス探すの面倒なのでついでに~/に設定ファイルのシンボリックリンクでも置いておく。


sudo cp /etc/nginx/sites-available/default /etc/nginx/sites-available/default.bak
sudo ln -s /etc/nginx/sites-available/default ~/nginx-default
sudo vim nginx-default

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name _;
    return 301 https://$host$request_uri;
}
server {
    # listen 80 default_server;
    # listen [::]:80 default_server;

    # SSL configuration
    listen 443 ssl;
    listen [::]:443 ssl;
    #
    # Note: You should disable gzip for SSL traffic.
    # See: https://bugs.debian.org/773332
    #
    # Read up on ssl_ciphers to ensure a secure configuration.
    # See: https://bugs.debian.org/765782
    #
    # Self signed certs generated by the ssl-cert package
    # Don't use them in a production server!
    #
    # include snippets/snakeoil.conf;

    root /var/www/html;

    # Add index.php to the list if you are using PHP
    index index.html index.htm index.php index.nginx-debian.html;

    server_name [Your Domain];

    ssl_certificate /etc/letsencrypt/live/[Your Domain]/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/[Your Domain]/privkey.pem;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
        # First attempt to serve request as file, then
        # as directory, then fall back to displaying a 404.
        try_files $uri $uri/ =404;
    }

    # pass PHP scripts to FastCGI server
    #
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
    #
    #   # With php-fpm (or other unix sockets):
        fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
    #   # With php-cgi (or other tcp sockets):
    #   fastcgi_pass 127.0.0.1:9000;
    }

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #   deny all;
    #}
}

これでNginxでHTTPSサーバーが立てられたはず。ドキュメントルートは/var/www/html

参考

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

コメントを残す