サイトのSSL化

前回取得したドメイン認証の証明書を実際にサイトに適用してみます。Webサーバーはnginxです。

証明書の設置

メールで送られてきたSSLサーバー証明書と中間CA証明書を結合します。証明書ファイルはただのテキストファイルなので、メールの該当部をコピペでOK。適当にwww.junk-works.science.crtとか名前を付けて保存します。

また、CSR作成時に同時作成された秘密鍵も適当にwww.junk-works.science.keyとか名前を付けて保存します。

これらを適当に/usr/local/etc/fujisslあたりに配置して/usr/local/etx/nginx/nginx.confを少し書き換えます。

server {
    listen       80;
    server_name  .junk-works.science;
    return 301 https://www.junk-works.science$request_uri;
}
server {
    listen       443 ssl http2;
    server_name  www.junk-works.science;
    ssl_certificate         /usr/local/etc/fujissl/www.junk-works.science.crt;
    ssl_certificate_key     /usr/local/etc/fujissl/www.junk-works.science.key;
    ssl_dhparam dhparam.pem;
    ssl_ciphers ECDHE+AESGCM:DHE+AESGCM:HIGH:!aNULL:!MD5;
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=15768000; includeSubdomains";

    root   /usr/local/www/junkworks;
    index  index.php index.html index.htm;

    location = /wp-config.php { deny all; }
    location = /xmlrpc.php { deny all; }
    location = /wp-login.php {
        auth_basic "Restricted";
        auth_basic_user_file /home/user/.htpasswd;
        fastcgi_pass unix:/var/run/php-fpm.sock;
        fastcgi_param SCRIPT_FILENAME /usr/local/www/junkworks/$fastcgi_script_name;
        include fastcgi_params;
        fastcgi_param HTTPS on;
    }
    location / {
        try_files $uri $uri/ /index.php?q=$uri&$args;
    }
    location ~ \.php$ {
        fastcgi_index index.php;
        fastcgi_pass unix:/var/run/php-fpm.sock;
        fastcgi_param SCRIPT_FILENAME /usr/local/www/junkworks/$fastcgi_script_name;
        include fastcgi_params;
        fastcgi_param HTTPS on;
    }
}

httpアクセスはhttpsにリダイレクトをかけることでアドレスの正規化をおこないます。

WordPressの設定

インストール当初のアドレスはhttpだったので、/設定/一般設定からアドレスの設定変更をおこないます。これでサイトのhttps化が…。

アドレス設定変更

と思ったらブラウザのアドレスバーに鍵マークが出ない。これはhttpsページ中にhttpリンクが存在するからです。アドレス変更前に投降した記事の画像リンクがhttpのままです。

鍵マークなし

まだ記事数が少ないので手で直してもいいんですが、直接MySQLを触って一括編集します。

$ mysql -uroot -p
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 4319
Server version: 5.6.36 Source distribution

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> use junk;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> update wp_posts set post_content=replace(post_content,'http://www.junk','https://www.junk') where post_type='post';
Query OK, 3 rows affected (0.08 sec)
Rows matched: 5  Changed: 3  Warnings: 0

これで古い記事も無事https化されました。

鍵マークあり