AWS上のUbuntu18.04からhttpsを行うためのssl証明書の発行

初めまして。よろしくお願いいたします。

前提・実現したいこと

AWS上のUbuntu18.04からhttpsを行うために、letsencryptを用いてssl証明書の発行がしたいです。

ムームードメインで独自ドメインの取得(以下DomainNameと記述)
AWS VPCを作成し、インターネットゲートウェイの割り当て
AWS EC2 Ubuntu18.04 Elastic IPの関連付け
AWS Route53でホストゾーンを作成し、Aレコードを作成

apache2をインストール後に
https://certbot.eff.org/lets-encrypt/ubuntubionic-apache
こちらに従って設定をしました。
この4番で止まっています。

発生している問題・エラーメッセージ

証明書が取得できません。エラーメッセージ曰くファイアウォールの問題のようですが、ポートは解放済みなので、引っかかるはずはないと思うのですが...

$ sudo certbot --apache

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for DomainName
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. DomainName (http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://DomainName/.well-known/acme-challenge/dvW76a6Zdy9E2O4-h8rPRlTQF6Q3bS5U7wjDNDtxMVE: Timeout during connect (likely firewall problem)

IMPORTANT NOTES:

The following errors were reported by the server:

Domain: DomainName
Type: connection
Detail: Fetching
http://DomainName/.well-known/acme-challenge/dvW76a6Zdy9E2O4-h8rPRlTQF6Q3bS5U7wjDNDtxMVE:
Timeout during connect (likely firewall problem)

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

試したこと

ufwを用いて、ポート80と443が解放されているかどうかの確認(解放されていました。)

ルータのポート80と443が解放されているかどうかの確認(こちらも問題なしです)

digコマンドの実施(AWS Route53で設定したIPがきちんと帰ってきます。)

ブラウザからhttps://DomainNameへのアクセス(ページhttps://DomainNameにアクセスできません。サーバhttps://DomainNameにセキュリティ保護された接続を確立できません。)

ご回答よろしくお願いいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

http://domainname/.well-known/acme-challenge/ 以下にファイルを置いてブラウザでアクセスできますか？

投稿2019/06/23 07:43

scsi

総合スコア2840

ryokuchama

2019/06/23 17:45 編集

scsiさんご回答ありがとうございます。アクセスできませんでした。 /var/www/htmlまでしか存在しなかったので、ディレクトリを作成して/var/www/html/DomainName/.well-known/acme-challenge/にhtmlファイルを置いてブラウザからアクセスを試みましたが、404 Not Foundが帰ってきました。

scsi

2019/06/23 21:45

Apacheの設定が間違ってるのかもですね。

ryokuchama

2019/06/24 15:46

scsiさんうーん...調べてsites-availableのServerNameの設定とか変えて見ましたけどエラーばっかですね... そしてConnectionRefusedが返されるようになってしまった... もう少し詳細にヒントをいただけませんか？

ryokuchama

2019/06/25 14:18 編集

エラーログを見てみました 2019-06-25 01:14:56,664:DEBUG:certbot.log:Exiting abnormally: Traceback (most recent call last): File "/usr/bin/certbot", line 11, in <module> load_entry_point('certbot==0.31.0', 'console_scripts', 'certbot')() File "/usr/lib/python3/dist-packages/certbot/main.py", line 1365, in main return config.func(config, plugins) File "/usr/lib/python3/dist-packages/certbot/main.py", line 1250, in certonly lineage = _get_and_save_cert(le_client, config, domains, certname, lineage) File "/usr/lib/python3/dist-packages/certbot/main.py", line 121, in _get_and_save_cert lineage = le_client.obtain_and_enroll_certificate(domains, certname) File "/usr/lib/python3/dist-packages/certbot/client.py", line 410, in obtain_and_enroll_certificate cert, chain, key, _ = self.obtain_certificate(domains) File "/usr/lib/python3/dist-packages/certbot/client.py", line 353, in obtain_certificate orderr = self._get_order_and_authorizations(csr.data, self.config.allow_subset_of_names) File "/usr/lib/python3/dist-packages/certbot/client.py", line 389, in _get_order_and_authorizations authzr = self.auth_handler.handle_authorizations(orderr, best_effort) File "/usr/lib/python3/dist-packages/certbot/auth_handler.py", line 168, in _respond self._poll_challenges(aauthzrs, chall_update, best_effort) File "/usr/lib/python3/dist-packages/certbot/auth_handler.py", line 239, in _poll_challenges raise errors.FailedChallenges(all_failed_achalls) certbot.errors.FailedChallenges: Failed authorization procedure. DomainName (http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://DomainName/.well-known/acme-challenge/zgZQRfUPrkJrW2qpiT3wmH6X2teMpzgB4FNUMWAWZaE: Timeout during connect (likely firewall problem)

scsi

2019/06/24 22:02 編集

ドメインが書いてあったので軽く確認してみました。まず、正引きが DNSラウンドロビンになっているので、正引きへのIPの登録は1つにしてください。あと、全ての IP への 80port 接続ができませんでした。外部から 80 port へ接続できるように、Firewallやapacheなどの設定を見直してください。 aws を使用しているのならセキュリティーグループも確認してください。一度Lets Encypt のhttp認証の仕組みの解説を読んで理解してから実行したほうがいいかと思います。

scsi

2019/06/24 23:03

—apacheオプションはapache起動してなくてもいいのかも。その点についてはこちらの認識不足でした。すいません。

ryokuchama

2019/06/25 14:20

原因特定しました... AWSのインスタンスの443番ポートがマイIPになってました... 道理で通らないわけですね... scsiさん本当にありがとうございました！

行動規範の内容に同意します