Q&A
親ドメインの証明書は取得しましたか?ALBやNginxの設定も見せていただきたいです
AWSの EC2 + AMIMOTO(nginx) + S3 + ALB + ACM + Route53で、サブドメイン型マルチサイトのWodrpressを常時SSL化しようとしています。
###エラー内容
サブドメインの「xxx.hogehoge.info」や「yyy.hogehoge.info」は「https://~」で正常に表示でき、ダッシュボードにアクセスすることもできるようになったのですが、親である「hogehoge.info」だけは以下のような表示になってしまい、ダッシュボードへのアクセスもできません。
このサイトにアクセスできません hogehoge.info で接続が拒否されました。 次をお試しください: 接続を確認する プロキシとファイアウォールを確認する ERR_CONNECTION_REFUSED
http://~であればサイト本体・ダッシュボードともアクセスすることはできますが、プラグイン「Really Simpe SSL」などでも「SSL証明書が検出されません」と出てしまいます。
また、ちゃんと「保護されています」との状態で表示できるサブドメインのサイトも、繋がるまでが異様に遅い(一度開けばすぐ読み込めるが、開くまで5~15秒ほどかかる)状態です。
###構成について
EC2にAMIのAMIMOTOを使用したサブドメイン型マルチサイトのWordpressです。画像などの配信には絡新婦(プラグイン)を使ってS3で配信しています。
Amazon Certicficate Managerの証明書を使用するにあたって、ALBを使用しました。
ターゲットグループ等は以下の参考サイトの通りに設定し、ヘルスチェックも通過させられましたが、(追記:親ドメインについては)httpでアクセスしたときの自動リダイレクトは動作していません。普通にhttpのページが見られるだけです。
###参考にしたサイト
・AWS ALB + nginx 構成でhttpをhttpsにリダイレクトする
http://qiita.com/spaceprobe/items/96550d3214f2930f8b1a
###その他自分でいじってみた部分
(1)上記サイトの通りでターゲットグループ・ロードバランサーの設定を行い、
AMIMOTO(nginx)のvirtual.confに以下の記述を追加しています。
server { listen 81; rewrite ^ https://$host$request_uri permanent; }
(2)ALBのヘルスチェックを通すため、AMIMOTO(nginx)のdefault.confに以下の記述を追加しています。ヘルスチェックのパスは「healthcheck.html」、判定は「204」に変更しています。
location = /healthcheck.html { access_log off; return 204; break; }
(3)セキュリティグループの設定は以下の通りです。
(4)リダイレクトループ防止のため、wp-config.phpの冒頭に以下の記述を追加しています。
if ( ! empty( $_SERVER['HTTP_X_FORWARDED_PROTO'] ) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https' ) { $_SERVER['HTTPS']='on'; }
この状態で、親ドメインのサイトだけSSL表示できない・リダイレクトが機能していない場合にはどういった原因・対処が考えられるでしょうか?
###備考
「保護されていません」の警告が目立たないようにしたいだけの個人ブログであり、費用はできるだけ抑えたいのですが、Let's Encryptはまだワイルドカード証明書に対応していないということなので、ACMを使った構成で検討しています。
###追記分(4日17:00更新)
ACMの証明書は「親ドメイン」「ワイルドカード」とも取得ずみです。発行リージョンは東京です。
ALB関連の設定は以下の通りです。
・ターゲットグループ:HTTP
【基本的な設定】 名前 :HTTP プロトコル:HTTP ポート :80 ターゲットの種類 :instance VPC :vpc-23383341 ロードバランサー:HTTPS ターゲットグループのポート:81 状態:healthy 【ヘルスチェック】 プロトコル:HTTP パス :/healthcheck.html ポート :80(上書き) 正常のしきい値:5 非正常のしきい値 :2 タイムアウト :5 間隔 :30 成功コード:204
・ターゲットグループ:HTTPS
名前 :HTTPS プロトコル :HTTP ポート :443 ターゲットの種類 :instance VPC :vpc-23383341 ロードバランサー:HTTPS ターゲットグループのポート:80 状態:healthy 【ヘルスチェック】「HTTP」と同様
ロードバランサーの方の設定も確認しましたが、任意記入のヘルスチェック関連の項目以外は
参考にしたサイト(http://qiita.com/spaceprobe/items/96550d3214f2930f8b1a)とまったく同様に設定できています。
nginxの設定(default.conf)の内容は以下の通りです。nginxの再起動も正常にできます。
・virtual.confには質問本文にある以外の記述はありません。
・Route53のAレコードは、ALBの方に設定し直しています。
・リダイレクトが正常に機能していないのは、親ドメイン内のサイトだけです。子ドメインでは、接続は異様に遅いもののリダイレクトはできています。
他に追加が必要な情報があればお伝えください。
修正依頼ありがとうございます。いま色々調べていましたが、CNAMEレコードではなくRoute53のAレコードを使用していることに原因がある気がしてきたのでそちらの方面からテストしてみています。
回答2件
0
自己解決
ALB・nginxまわりではなく、Route53で親ドメインのみ「インスタンスに紐付けしたElastic IPをValueに設定したAレコード」を設定したままにしていたことが原因でした。
以下の画像のように「親ドメインにAレコードを作成し、Alias TargetにALBのエンドポイントを設定する」ことで解決しました。
検索して出てくる記事には__「ELBのDNS登録は、AレコードではなくCNAMEレコードを使う必要がある」__と書いてあるものがあり、親ドメインではAレコードを使用できないと思っていたのですが、元のAレコードを削除してからしばらくすると、親ドメインでもAlias TargetのプルダウンメニューからALBのエンドポイントが選択できるようになっていました。
(このあたりは詳しく記憶していないので、元のAレコードを削除してからの経過時間は関係ないかもしれません)
そのエンドポイントを選択して、親ドメインについてもワイルドカード・ドメインの場合と同様のAレコードを設定し、元あったElastic IPについてのAレコードは削除しました。
設定変更後、反映されるのに数十分ほどかかりましたが、無事に親ドメインもhttps://~で接続できるようになりました。
また、サイト全体でページの読み込み開始に数秒以上かかっていた状態も改善されました。
あとは一部リンクの記述を修正すれば、常時SSLで閲覧できると思われます。
検証にご協力くださったmorixさん、moonphaseさんありがとうございました。現状説明した内容に明らかな問題があるわけではないと確認いただくことで、それ以外の部分に原因があると気づくことができました。
投稿2017/09/05 05:04
総合スコア11
0
ALBのIPアドレスは変動しますので、レコードをCNAMEとしてRoute 53に登録する必要があります。
Route 53の設定もある程度マスクして出せる範囲で出してください。
投稿2017/09/05 01:17
総合スコア6621
CNAMEではなく、AレコードのプルダウンメニューからALBのエンドポイントを設定することで解決できました。それで稼働はしていますが、長期的に見てまずくなるような要素などありましたらご教授いただければ幸いです。現状の設定は「解決方法」に記載しました。
あなたの回答
tips
プレビュー
