Simple Application Server にドメイン名が紐付けられている場合は、そのドメインの HTTPS 暗号化を設定します。これにより、低コストでデータ伝送プロトコルが HTTP から HTTPS に変更され、Web サイトの ID 検証と暗号化されたデータ伝送が可能になり、転送中のデータ改ざんや情報漏洩を防ぎます。このトピックでは、WordPress 5.8 を実行している Simple Application Server を例として使用し、サーバーに SSL 証明書をインストールして HTTPS 暗号化を有効にする方法を説明します。
Simple Application Server (SAS) を WordPress 6.7.1 アプリケーションイメージで作成した場合、コンソールでワンクリックで HTTPS 暗号化を有効にできます。詳細については、「ワンクリックで HTTPS を有効にする」をご参照ください。
背景情報
Certificate Management Service (旧称:SSL 証明書) を通じて証明書を購入して申請し、Web サーバーにデプロイすると、Web サービスは HTTPS プロトコルでデータを送信します。HTTPS は、クライアントブラウザと Web サーバーの間に SSL 暗号化チャネルを確立し、強力な一方向暗号化によって伝送中のデータ漏洩や改ざんを防ぎます。モバイルアプリ、ミニプログラム、コードプログラム、コントロール、およびその他のアプリケーションをアプリストアやエコシステムで公開するには、HTTPS 暗号化が必要です。HTTPS 暗号化には、以下のメリットがあります。
-
セキュリティコンプライアンス:アプリストアやアプリケーションエコシステムの要件を満たします。
-
ネットワークデータの暗号化:Web サイトのユーザーとサイト間の通信を暗号化し、データの乗っ取り、改ざん、盗聴を防ぎ、安全なデータ伝送を確保します。
-
Webサイトのセキュリティ向上:フィッシングインシデントの回避に役立ちます。ユーザーがサイトにアクセスすると、ブラウザにセキュリティインジケーターが表示され、信頼性、トラフィック、検索順位が向上します。
前提条件
-
Simple Application Server が作成されている必要があります。詳細については、「WordPress アプリケーションイメージを使用して Web サイトを迅速に構築する」 をご参照ください。
-
ドメイン名が購入されている必要があります。Alibaba Cloud でドメイン名を購入する方法については、「汎用ドメイン名を登録する」 をご参照ください。
-
Simple Application Server が中国本土にデプロイされている場合は、ドメイン名の ICP 登録が完了していることを確認してください。詳細については、「ICP 登録とは」 をご参照ください。
-
ドメイン名が Simple Application Server に紐付けられ、ドメイン名前解決が完了している必要があります。詳細については、「ドメイン名を登録して名前解決を設定する」 をご参照ください。
ステップ 1: SSL 証明書の購入
証明書の購入
-
Certificate Service 購入ページに移動します。
-
証明書の仕様を選択します。
パラメーター
説明
例
[証明書の種類]
SSL 証明書をバインドするドメインのタイプを選択します。
-
[シングルドメイン]:単一のドメインにバインドする SSL 証明書です。
-
[ワイルドカードドメイン]:同じレベルの複数のサブドメインを保護し、サブドメインごとに個別の証明書を購入してインストールする必要がなくなります。
ワイルドカードドメインのマッチングには、次のルールがあります。
-
証明書は同じレベルのサブドメインのみに一致します。たとえば、*.aliyundoc.com の証明書は demo.aliyundoc.com と learn.aliyundoc.com に一致しますが、guide.demo.aliyundoc.com や developer.demo.aliyundoc.com には一致しません。
-
1 つのワイルドカードドメインに対してのみ証明書を申請できます。1つの証明書で複数のワイルドカードドメインを保護するには、同じブランドおよびタイプの証明書を複数購入し、申請を統合する必要があります。詳細については、「証明書申請の組み合わせ」をご参照ください。
-
-
[マルチドメイン]:複数の単一ドメインにバインドする SSL 証明書です。1 つの証明書で最大 5 つのドメインを保護できます。
説明Alibaba Cloud は、対象となる商用証明書を購入すると、無料のドメイン名を提供します。詳細については、「商用証明書の購入」をご参照ください。
シングルドメイン
ブランド
証明書のブランド (証明書を発行する認証局 (CA)) を選択します。
証明書ブランドの詳細については、「SSL 証明書の選択ガイド」をご参照ください。
Digicert
[証明書の仕様]
証明書の検証レベル (DV、OV、EV など) を選択します。
証明書タイプの詳細については、「SSL 証明書の選択ガイド」をご参照ください。
DV SSL
[ドメイン名]
このパラメーターは、[マルチドメイン] を選択した場合にのみ必要です。SSL 証明書にバインドする単一ドメインの数を選択します。
1
[数量]
購入する SSL 証明書の数です。この値は 1 に固定されています。複数年にわたって証明書を購入するには、[サービス期間] を設定します。たとえば、[サービス期間] を 2 Years に設定すると、2 つの個別の 1 年間の証明書が発行されます。
1
[サービス期間]
SSL 証明書サービスの期間です。オプション:
-
[1 年]:1 年間の SSL 証明書サービスを提供します。証明書は 1 年間有効で、有効期限が切れたら手動で更新する必要があります。
-
[2 Years]:2 つの 1 年間の証明書と 1 年間の証明書ホスティングサービスを含む 2 年間のサービスを提供します。
証明書ホスティングの詳細については、「証明書ホスティングとは」をご参照ください。
-
[3 years]:3 つの 1 年間の証明書と 2 年間の証明書ホスティングサービスを含む 3 年間のサービスを提供します。
1 年
-
-
今すぐ購入 をクリックし、支払いを完了します。
証明書の申請
Certificate Management Service コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
-
公式証明書 タブで、購入した証明書を見つけ、[操作] 列の 証明書申請 をクリックします。
-
証明書申請 パネルで、パラメーターを設定し、[クイック発行] チェックボックスを選択してから、[送信] をクリックします。
パラメーター
説明と例
[証明書タイプ]
シングルドメイン
[証明書の仕様]
digicert DV
[ドメイン名]
証明書で保護するドメイン名です。このドメイン名は、Simple Application Server インスタンスにバインドされている必要があります。例:aliyundoc.com
[年]
1
[迅速な問題]
[ドメイン検証方法]
-
ドメインが同じアカウントで Alibaba Cloud DNS を使用している場合、Certificate Management Service は自動的に 自動dns検証 を選択します。この方法は変更できません。申請を送信すると、システムが自動的に検証を完了するため、証明書が発行されるのを待つだけです。
-
ドメイン名が Alibaba Cloud DNS を使用していない場合、または別の Alibaba Cloud アカウントで管理されている場合は、次のいずれかの方法を選択してドメインの所有権を検証できます。
-
[手動 DNS 検証]:DNS プロバイダーのコンソールで TXT レコードを手動で追加して、ドメインの所有権を検証する必要があります。
-
[ファイル検証]:Certificate Management Service コンソールから専用の検証ファイルをダウンロードし、Web サーバー上の必要な検証ディレクトリにアップロードする必要があります。
-
[連絡先]
ドロップダウンリストから連絡先を選択します。連絡先が利用できない場合は、[連絡先の作成] をクリックして作成します。
連絡先情報が正確で有効であることを確認してください。
[リージョン]
都市またはリージョンを選択します。
[暗号化アルゴリズム]
SSL 証明書の暗号化アルゴリズムです。デフォルト値は RSA で、変更できません。RSA は広く使われている非対称暗号化アルゴリズムで、優れた互換性があります。
[CSR の生成]
証明書署名リクエスト (CSR) は、サーバーと会社の情報を含む、認証局 (CA) へ審査のために送信するファイルです。
System Generated を選択します。Certificate Management Service は、指定された [暗号化アルゴリズム] を使用して CSR ファイルを自動的に生成します。
-
-
ドメイン検証方法 が 自動dns検証 の場合、システムが自動的に DNS 検証を完了します。証明書が発行されるのを待つだけです。ドメイン検証方法 が 手動dns検証 または ファイル検証 に設定されている場合は、検証情報 のプロンプトに従って、ドメイン所有権の検証を完了する必要があります。詳細については、「ドメイン所有権の検証」をご参照ください。
証明書申請を送信すると、認証局 (CA) は通常、約 30 分以内に申請を審査し、証明書を発行します。SSL 証明書が発行されると、その Status が 発行済み に変わります。
ステップ 2: SSL 証明書の設定
発行後、証明書のステータスが [発行済み] に変わります。SSL 証明書をサーバーにデプロイして構成します。証明書のデプロイとインストールの詳細については、「SSL 証明書のデプロイ」をご参照ください。
-
SSL 証明書をアップロードしてデプロイします。
-
左側メニューで、 を選択します。
-
クラウドサーバーのデプロイ ページで、タスクの作成 をクリックします。
-
基本設定 ページで、カスタムタスク名を入力し、次へ をクリックします。
-
証明書を選択する ページで、証明書タイプを選択し、SSL 証明書をクラウドサーバーに関連付けます。次へ をクリックします。
-
リソースの選択 ページで、適切なクラウドサーバーとリソースを選択します。次へ をクリックします。
-
システムは、お使いの Alibaba Cloud アカウント配下で Web アプリケーションを実行している、対象のクラウドサーバーインスタンスをすべて自動的に検出します。リソースが表示されない場合は、クラウドサーバーで Nginx や Apache などの Web アプリケーションが実行されていることを確認してください。
-
インスタンスに証明書が以前にデプロイされている場合は、証明書の名前が表示されます。
-
-
デプロイ設定 ページで、次の表に従って証明書をクラウドサーバーにデプロイします。OK をクリックします。
重要証明書構成ディレクトリがサーバーに存在しない場合、システムが自動的に作成します。コンソールで設定したパスは、クラウドサーバーの Web アプリケーション設定における証明書ファイルパスと一致させる必要があります。
設定項目
説明
設定例
[証明書のパス]
クラウドサーバー上の証明書ファイルの絶対パスを設定します。
/data/cert/certpublic.crt
[秘密鍵のパス]
クラウドサーバー上の秘密鍵ファイルの絶対パスを設定します。
/data/cert/cert.key
[証明書チェーンのパス]
クラウドサーバー上の証明書チェーンファイルの絶対パスを設定します。
/data/cert/certchain.crt
[コマンドを再読み込み]
証明書をデプロイした後、証明書を有効にするには、Web アプリケーションを再起動するか、その設定を再読み込みする必要があります。ここに、再起動または再読み込みのコマンドを入力します。
重要これらのコマンドを実行すると、サービスの起動に失敗する可能性があります。この場合は、クラウドサーバー上で直接操作してください。
不要です。
-
確認ダイアログボックスで、OK をクリックします。
-
-
-
SSL 証明書を設定します。
-
Simple Application Server にリモート接続します。詳細については、「Linux サーバーへのリモート接続」をご参照ください。
-
次のコマンドを実行して、
vhost.conf設定ファイルを編集します。説明この例では、WordPress 環境にデフォルトで Apache がインストールされていることを想定しています。設定ファイルのパスと名前は、お使いの環境によって異なる場合があります。実際の環境に合わせて調整してください。
sudo vim /etc/httpd/conf.d/vhost.conf -
iを押して編集モードに入ります。 -
設定ファイルに次のコードを追加します。
サンプルコードを使用する前に、次の設定項目を更新してください。
-
ServerName: ドメイン名 (例:
example.com) -
DocumentRoot: アプリケーションディレクトリ (例:
/data/wwwroot/wordpress) -
Directory: アプリケーションディレクトリ (例:
/data/wwwroot/wordpress) -
SSLCertificateFile: 証明書ファイルのパス (例:
/data/cert/certpublic.crt) -
SSLCertificateKeyFile: 秘密鍵ファイルのパス (例:
/data/cert/cert.key) -
SSLCertificateChainFile: 証明書チェーンファイルのパス (例:
/data/cert/certchain.crt)
重要証明書ファイルパスが正しくない場合、HTTPS アクセスができなくなります。
設定例:
<VirtualHost *:443> # ドメインをサーバーにバインド ServerName example.com DocumentRoot "/data/wwwroot/wordpress" #ErrorLog "logs/example.com-error_log" #CustomLog "logs/example.com-access_log" common <Directory "/data/wwwroot/wordpress"> Options Indexes FollowSymlinks AllowOverride All Require all granted </Directory> SSLEngine on # SSL 証明書を設定します。パスはデプロイ設定と一致させる必要があります。 SSLCertificateFile /data/cert/certpublic.crt SSLCertificateKeyFile /data/cert/cert.key SSLCertificateChainFile /data/cert/certchain.crt </VirtualHost> -
(必要な場合) HTTP リクエストから HTTPS への自動リダイレクトを有効にする場合は、
<VirtualHost *:80>にも設定を追加する必要があります。コードブロックに次の設定情報を追加します。
#----------HTTP for WordPress Start-------- <VirtualHost *:80> ServerName example.com #ServerAlias example.com DocumentRoot "/data/wwwroot/wordpress" ErrorLog "logs/wordpress-error_log" CustomLog "logs/wordpress-access_log" common RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^(.*)?$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] <Directory "/data/wwwroot/wordpress"> Options Indexes FollowSymlinks AllowOverride All Require all granted </Directory> </VirtualHost> #----------HTTP for WordPress End---------
編集後、
Escを押し、:wq!と入力してEnterを押し、保存して終了します。 -
次のコマンドを実行して、サービスを再起動します。
sudo systemctl restart httpd -
次のコマンドを実行して、データベースを再起動します。
sudo service mysqld restart
-
ステップ 3:SSL 証明書の検証
-
WordPress 管理パネルで HTTPS ドメインを構成します。
-
WordPress 管理パネルにログインします。
管理パネルの URL、ユーザー名、パスワードを取得する方法については、「WordPress アプリケーションイメージを使用したウェブサイトの迅速な構築」をご参照ください。
-
左側メニューで、設定情報 > [一般] を選択します。
-
[WordPress アドレス (URL)] と [サイトアドレス (URL)] に、紐付けおよび名前解決が完了したドメイン名を入力します。この例では
https://example.comを使用します。 -
[変更を保存] をクリックします。
説明[WordPress アドレス (URL)] と [サイトアドレス (URL)] を変更すると、管理パネルのログイン URL は
https://example.com/wp-login.phpになります。example.comを実際のドメインに置き換えてください。
-
-
ブラウザで
https://お使いの Simple Application Server のドメインにアクセスします。-
ブラウザのアドレスバーにロックアイコンが表示される場合、SSL 証明書は正常にインストールされています。
-
HTTPS 経由でサイトにアクセスできない場合は、次のようにトラブルシューティングを行います。
-
Simple Application Server のポート 443 が開いており、他のツールによってブロックされていないことを確認してください。ポート 443 を許可する方法については、「ファイアウォールの管理」をご参照ください。
-
ICP 备案のステータスを確認してください。ドメインが中国本土のサーバーに名前解決されている場合は、ICP 备案が完了していることを確認してください。詳細については、「ICP 备案とは」をご参照ください。
-
証明書パスの構成を確認してください。アップロードした証明書パスが構成されたパスと一致していることを確認してください。詳細については、「SSL 証明書の構成」をご参照ください。
-
-
参考資料
サーバータイプによって、サポートされる SSL 証明書のフォーマットが異なります。サーバータイプに応じて適切な SSL 証明書を選択してください。詳細については、「SSL 証明書のデプロイ」をご参照ください。