質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.01%

  • Ruby on Rails

    6206questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • AWS(Amazon Web Services)

    1622questions

    Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

  • nginx

    733questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • HTTPS

    206questions

    HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

AWSのACMを使いつつ、Nginx内でhttpsにリダイレクト設定したい

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 895

dialbird

score 311

取得したドメインにhttpでアクセスしてもhttpsでリダイレクトするようにNginxで設定したいと考えています

構成は証明書が乗ったELBが一台とそれに紐づくEC2が二台という単純なもので、それぞれのEC2内では同じ設定のNginxサーバーとRailsアプリが乗っています

現在問題になっているのは、おそらくNginxの設定がおかしいために、http、httpsのいずれでアクセスしても、延々と待たされてエラーすら出ない状況になっているということです。


ELBのListener設定は、以下のようにしてあります

イメージ説明

またNginxの設定はこちらです

upstream app {
    server unix:/data/myapp/shared/tmp/sockets/puma.sock fail_timeout=0;
}

server {
    listen       80;
    server_name  example.com;

    root /data/myapp/current/public;

    access_log /var/log/nginx/myapp.access.log;
    error_log /var/log/nginx/myapp.error.log;

    return 301 https://example.com$request_uri;
}

server {
    listen 443;
    server_name  example.com;

    root /data/myapp/current/public;

    access_log /var/log/nginx/myapp.access.log;
    error_log /var/log/nginx/myapp.error.log;

    location @app {
        proxy_set_header        X-Real-IP          $remote_addr;
        proxy_set_header        X-Forwarded-For    $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Host   $host;
        proxy_set_header        X-Forwarded-Proto  $http_x_forwarded_proto;
        proxy_set_header        X-Forwarded-Ssl  on;
        client_max_body_size    10m;
        client_body_buffer_size 128k;
        proxy_connect_timeout   90;
        proxy_send_timeout      90;
        proxy_read_timeout      90;
        proxy_buffers           32 4k;
        proxy_pass http://app;
    }

    location / {
        try_files $uri/index.html $uri @app;
    }
}

おそらくproxy_set_header周りで何か足りない、間違っているものがあるのかとは思うのですが、知識足らずで何をどうしていいのかがよくわからないのです。

教えていただけると幸いです。よろしくお願いいたします


追伸ですが、以前は以下のような設定で問題なく見れていました

わざわざ変えたのは、よくよく考えたらhttpsはhttps接続のまま渡さないとややこしいのでは?と考えたからです。

参考になるかわかりませんが、よろしくお願いいたします

イメージ説明

upstream app {
    server unix:/data/myapp/shared/tmp/sockets/puma.sock fail_timeout=0;
}

server {
    listen       80;
    server_name  example.com;

    root /data/myapp/current/public;

    access_log /var/log/nginx/myapp.access.log;
    error_log /var/log/nginx/myapp.error.log;

    location @app {
        proxy_set_header        X-Real-IP          $remote_addr;
        proxy_set_header        X-Forwarded-For    $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Host   $host;
        client_max_body_size    10m;
        client_body_buffer_size 128k;
        proxy_connect_timeout   90;
        proxy_send_timeout      90;
        proxy_read_timeout      90;
        proxy_buffers           32 4k;
        proxy_pass http://app;
    }

    location / {
        try_files $uri/index.html $uri @app;
    }
}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • t_obara

    2017/09/28 19:05

    ややこしいことは全くないです、ややこしくなるような特殊な構成であれば別だと思いますが。バックエンドにhttpsで行く必要はないですよ。今まではバックエンド各々にも証明書を用意する必要があり、コスト的にもhttpにするメリットがありました。現状はacmで無償提供されていたりするので特にコスト面でのメリットはありませんが。

    キャンセル

  • dialbird

    2017/10/01 15:34

    t_obaraさん。返信が遅れて申し訳ありません。そしてありがとうございます。ややこしいものなのかどうかはむしろ初心者なのでなんとも言えないのですが、とりあえず裏ではhttpでつうしんすることにしました。

    キャンセル

回答 2

+1

その環境ならCloudFrontでhttpからhttpsにリダイレクトさせるのが一番簡単ですよ。
nginxで設定とかAWSらしくない。

クライアント-ELB間はHTTPS、
ELB-EC2間はHTTPでいいので
後半のままで問題ないです。
HTTPS部分は全部ELBが対応するのでEC2は気にしない。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/23 11:47

    kawaxさん
    ご返答ありがとうございます
    そして返答が遅れて申し訳ありません

    そうなのですか。
    ただ気になる点があるのでそれだけ確認させてください。

    知り合いのインフラのベテランの方が、443から80に接続していると後々面倒なことになりやすいとおっしゃっていたのですが、kawaxはどのように考えていらっしゃるのでしょうか?

    よろしくお願いいたします

    キャンセル

checkベストアンサー

0

HTTPS:443 -> HTTPS:443 にするのであれば、Nginx でも 443 番ポートを ssl で受ける必要があります。

server {
    listen 443 ssl;

    # 他、ssl_certificate, ssl_certificate_key などの設定も。
}

そうではなく、ELB で以下のように転送するといいと思います。

HTTPS:443 -> HTTP:80
HTTP:80   -> HTTP:8080 (Nginx でリダイレクト)

あるいは、ELB が Classic Load Balancer であれば、HTTP, HTTPS のどちらで受けたのか、X-Forwarded-Proto, X-Forwarded-Port ヘッダでわかりますので、両方とも HTTP:80 で受けて、Nginx 側でヘッダを見て処理を分ける方法もあります。

http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/classic/x-forwarded-headers.html

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/23 11:30

    TaichiYanagiyaさん
    ご返答ありがとうございます
    そして返答が遅れて申し訳ありません

    色々調べて見たのですが、なぜsshなのに8080にリダイレクトする必要があるのかがわからないのです。
    そこの解説をお願いできないでしょうか........?

    キャンセル

  • 2017/09/23 12:05

    リダイレクト設定の前は HTTPS:443 -> HTTP:80 で問題なくアクセスできていたようですので、それはそのまま。
    HTTP:80 -> HTTP:8080 と別ポートにし、Nginx 側で "listen 8080;" の server を追加し、そちらでリダイレクト設定するということです。

    キャンセル

  • 2017/09/23 12:12

    早速のご返答感謝いたします

    つまりAWSとNginxを連携させ、且つsshをAWSに任せるのなら、Nginx内で443設定をするのはややこしくなる(ssh周りの設定が)からこのような手法をとるという解釈で良いのでしょうか?

    キャンセル

  • 2017/09/23 23:27

    はい。SSL はすべて ELB に任せて、Nginx は HTTP のみ受け付けます。
    ELB へのアクセスが HTTP/HTTPS かで、Nginx 側のポート番号を変えることで判別しますので、

    HTTPS:443 -> HTTP:8080
    HTTP:80 -> HTTP:80 (リダイレクト)

    でも、

    HTTPS:443 -> HTTP:443 (HTTPS ではない)
    HTTP:80 -> HTTP:80 (リダイレクト)

    でもいいです。

    キャンセル

  • 2017/09/24 07:53

    ありがとうございます
    非常に参考になりました

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 91.01%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Ruby on Rails

    6206questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • AWS(Amazon Web Services)

    1622questions

    Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

  • nginx

    733questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • HTTPS

    206questions

    HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。