Let's encryptでSSL証明書を取得した際のアクセス権限

Let's encryptでSSL証明書を取得して、docker-composeのnginxでhppts通信を行いました。
参照したサイトは、下記などになります。

Docker+nginxでHTTPSサーバを簡単に構築

 Let's Encrypt で Nginx にSSLを設定する

一応、上手く接続できたのですが、フォルダのアクセス権限でハマりました。
環境はamazon linux 2になりますが、Let's encryptで取得したSSL証明書は、/etc/letsencrypt/live/www.example.com/に保存されます。
ここで、liveフォルダのアクセス権限は、

sh
1drwx------  3 root root   47 Nov  9 02:12 live

となっていまして、ec2-userユーザでは、アクセスできないようでした。
なので、root権限で適当なフォルダにpemファイルをコピーして、上手く接続できたのですが、何か他にも良い方法はあるでしょうか。

今回のpemファイルのコピー先は、/home/ec2-user/sslになります。

sh
1drwxrwxr-x 2 ec2-user ec2-user    93 Nov  9 05:32 ssl

sh
1[ec2-user@ip-***-***-***-*** ssl]$ ls -la
2total 24
3drwxrwxr-x 2 ec2-user ec2-user   93 Nov  9 05:32 .
4drwx------ 7 ec2-user ec2-user  163 Nov  9 05:31 ..
5-rw-r--r-- 1 root     root     1854 Nov  9 03:14 cert.pem
6-rw-r--r-- 1 root     root     3749 Nov  9 03:14 chain.pem
7-rw-r--r-- 1 root     root     5603 Nov  9 05:32 fullchain.pem
8-rw------- 1 root     root     1708 Nov  9 03:14 privkey.pem
9-rw-r--r-- 1 ec2-user ec2-user  692 Nov  9 03:14 README

因みに、コピー元/etc/letsencrypt/live/www.example.com/のファイルにアクセスして、docker-compose up -dを行ったところ、下記エラーが表示されました。
恐らく、アクセス権限のエラーだと思います。

[emerg] 1#1: cannot load certificate "/etc/letsencrypt/live/www.example.com/fullchain.pem": BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/www.example.com/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)

一応、READMEにはDON'T MOVEと書かれていました。

surface_0

2021/11/09 10:24

> 因みに、コピー元/etc/letsencrypt/live/www.example.com/のファイルにアクセスして、docker-compose up -dを行ったところ、下記エラーが表示されました。ここの言っていることが良く分からないのですが、コンテナにこのパスをバインドマウントしたということでしょうか？

uer03108

2021/11/09 11:48

仰る通りです。 docker-compose.ymlファイルで、nginxのvolumesに下記を設定しました。 volumes: ... - /etc/letsencrypt/live/www.example.com:/etc/nginx/certs #error # - /home/ec2-user/ssl:/etc/nginx/certs #ok ... --------------------------------------------------------------- default.conf server { server_name www.example.com; listen 443 ssl; ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; ... }

行動規範の内容に同意します

回答1件

ベストアンサー

まず、/etc/letsencrypt/live/www.example.com/の中にあるpemファイルなどは相対パスのシンボリックリンクになっていると思います。
ですので、実体はそこにはありません。

root権限で適当なフォルダにpemファイルをコピーして、上手く接続できたのですが

シンボリックリンクをコピーした場合はリンク先のファイルがコピーされたために、うまくいったものと思いますが、それに対して、

コピー元/etc/letsencrypt/live/www.example.com/のファイルにアクセスして、docker-compose up -dを行ったところ、下記エラーが表示されました。

こちらはシンボリックリンクだけがDockerコンテナにマウントされた状態になるので、コンテナ内にリンク先が存在せずエラーとなります。
やるなら/etc/letsencryptからマウントする必要があります。

本題に戻りまして、

何か他にも良い方法はあるでしょうか。

Dockerコンテナでnginxを運用するならば、Let's Encrypt(certbot)もDockerで完結させるのがベストだと思います。
nginxコンテナとボリュームを共有したcertbotイメージのコンテナでSSL証明書を発行するような形です。
この際、マウントするボリュームはバインドではなく、破棄も簡単な名前付きボリュームで良いと思います。
このやり方ならば、ホスト環境をクリーンな状態にできます。

他の楽な方法としては、リバースプロキシをhttps-portalで構築するというやり方があります。
Let's Encrypt でhttps化してくれるコンテナ (https-portal) - Qiita

また、複数のWebサーバーコンテナを運用する場合は、より高度な機能を持つnginx-proxy + acme-companionなども挙げられます。

投稿2021/11/10 03:25

編集2021/11/10 03:26

surface_0

総合スコア497