setting_up_web_server.html (12297B)
1 <h1>Webサーバーの設定</h1> 2 <time>2022-06-27</time> 3 4 <h2>はじめに</h2> 5 <p>OpenBSDでWebサーバーを公開する方法のメモ。といってもmanページが完璧なのであまり書く必要はない。ドメインのあたりの知識は適当なので間違っていたらごめんなさい。コンピュータの知識は全部独学なので多少間違った理解をしていても訂正されることがない。言葉の定義等細かいことがいいかげんになりがちである。</p> 6 7 <h2>環境</h2> 8 <ul> 9 <li>OS: OpenBSD 7.1</li> 10 <li>サーバー: httpd(OpenBSDに付属のもの)</li> 11 <li>サーバー証明書: Let's Encrypt</li> 12 <li>サーバー: さくらのVPS。ここではIPアドレスを<code><i><server_ip></i></code>とする。</li> 13 <li>ドメイン: さくらのドメイン。ここでは<code><i><server_domain></i></code>とする。</li> 14 </ul> 15 16 <h2>設定の概要</h2> 17 <dl> 18 <dt>サーバーを用意</dt> 19 <dd>サーバーはウェブサイトのデータを保存し、ブラウザからアクセスされた時にそのデータを送り返すためのものである。ここではさくらのVPSを用いた。 </dd> 20 <dt>ドメインの取得とDNSの設定</dt> 21 <dd>インターネット上のサーバー等はIPアドレスを用いて識別されているが、数字の羅列なので人間には覚えにくい。そのためドメイン名という、好きなアルファベットの文字列をIPアドレスと紐付ける。インターネットにはこのドメイン名を用いて紐付いたサーバーと通信できるような仕組みがあり、これをDomain Name System(DNS)という。ドメインはインターネット上で利用料を支払うことで購入できる。IPアドレスとドメイン名の紐付け等DNSの設定は基本的にはドメインを購入したサイトでできるはずである。</dd> 22 <dt>httpdの設定</dt> 23 <dd>VPS上でサーバー用のソフトウェアを設定、起動する。</dd> 24 <dt>証明書の発行と自動更新の設定</dt> 25 <dd>ウェブブラウザとサーバーの間で暗号化された通信を行うために必要なものである。</dd> 26 <dt>ホームページのファイルをアップロード</dt> 27 <dd>ウェブページで配信したいものをVPSにアップロードする。</dd> 28 <dt>接続の確認</dt> 29 <dd>手元のブラウザからアクセスできることを確認。</dd> 30 </dl> 31 32 <h2>サーバーを用意</h2> 33 <p>サーバーをどこかで契約する。ここではさくらのVPSを利用。</p> 34 35 <h2>ドメインの取得とDNSの設定</h2> 36 <p>ドメインを好きな場所で取得してDNSを設定する。さくらのドメインではドメインコントロールパネルのゾーン情報から設定できる。ここではサブドメインなしのものと、サブドメインがwwwのものを設定した。VPSのIPアドレスはVPSのコントロールパネルから確認できる。</p> 37 <pre><code>HOST TYPE POINTS TO TTL 38 <i><server_domain></i> A <i><server_ip></i> 3600 39 www.<i><server_domain></i> A <i><server_ip></i> 3600</code></pre> 40 <p><code>HOST</code>はサーバーのFQDN。コントロールパネル上ではサブドメインの部分だけを設定すればよい。サブドメインが無い場合は<code>@</code>と記入する。<code>TYPE</code>は設定するレコードの属性でIPv4のサブドメインを設定する場合は<code>A</code>。この他、IPv6用の<code>AAAA</code>やメールサーバー用の<code>MX</code>、サーバーの別名を登録する<code>CNAME</code>等がある。<code>POINTS TO</code>はサーバーのIPアドレス。<code>TTL</code>はDNSのキャッシュの生存時間の秒数で、DNSの登録内容を変更した際にその変更が世界中のDNSサーバーに反映されるまでにかかる最大の時間である。世界中から多くのアクセスがあるサーバーの場合、DNSの登録内容を変更する前にTTLを短かくしておかないと、キャッシュが破棄されるまでアクセス不能になる。個人のウェブページではまあそんなにアクセスもないし適当でよさそう。ここでは1時間を指定した。</p> 41 <p>この設定が反映されれば、ドメイン名からサーバーにアクセスできるようになる。</p> 42 <pre><code>$ ping <i><server_domain></i> 43 PING <i><server_domain></i> (<i><server_ip></i>): 56 data bytes 44 64 bytes from <i><server_ip></i>: icmp_seq=0 ttl=243 time=38.032 ms 45 64 bytes from <i><server_ip></i>: icmp_seq=1 ttl=243 time=27.923 ms 46 ^C</code></pre> 47 48 <h2>httpdの設定</h2> 49 <p>VPSにログインし、httpdを設定する。まずは<code>/etc/examples/</code>にある設定ファイルのサンプルを<code>/etc/</code>にコピーして必要な部分を変更する。</p> 50 <pre><code>$ doas cp /etc/examples/httpd.conf /etc/ 51 vi /etc/httpd.conf</code></pre> 52 53 <pre><code># $OpenBSD: httpd.conf,v 1.22 2020/11/04 10:34:18 denis Exp $ 54 55 server "<i><server_domain></i>" { 56 listen on * port 80 57 location "/.well-known/acme-challenge/*" { 58 root "/acme" 59 request strip 2 60 } 61 location * { 62 block return 302 "https://$HTTP_HOST$REQUEST_URI" 63 } 64 } 65 66 server "<i><server_domain></i>" { 67 listen on * tls port 443 68 tls { 69 certificate "/etc/ssl/<i><server_domain></i>.fullchain.pem" 70 key "/etc/ssl/private/<i><server_domain></i>.key" 71 } 72 location "/.well-known/acme-challenge/*" { 73 root "/acme" 74 request strip 2 75 } 76 location "*" { 77 root "/htdocs/www.<i><server_domain></i>" 78 directory auto index 79 } 80 }</code></pre> 81 <p>一つ目の<code>server</code>ディレクティブは80番ポートにアクセスがあった時の設定。80番ポートは暗号化なしのアクセスなので、二つ目の<code>location</code>ディレクティブで暗号化ありの<code>https</code>の方にリダイレクトさせるようにしている。一つ目の<code>location</code>ディレクティブは<code>acme-client</code>がサーバー証明書を発行する際にアクセスされる場所である。既定値のままにしておけばよい。二つ目の<code>server</code>ディレクティブは443番ポートにアクセスがあった時の設定。<code>tls</code>ディレクティブにおいてサーバー証明書と、暗号化に利用する鍵が設定されている。これも既定値のままでいい。<code>location</code>ディレクティブはウェブサーバーにアクセスがあった時の処理である。一つ目は80番ポートと同じく<code>acme-client</code>用。二つ目はそれ以外である。<code>root</code>(ドキュメントルート)はアクセスがあったときにどこのディレクトリからファイルを探すかを決めるもので、<code>/var/www</code>からの相対パスで記述する。ここでは<code>/htdocs/www.<i><server_domain></i></code>にしたのでウェブページのデータは<code>/var/www/htdock/www.<i><server_domain></i>/</code>というディレクトリ以下に配置することになる。</p> 82 <p>ここで一度<code>httpd</code>を<code>-n</code>オプションを付けて実行し、設定ファイルのミスがないか確認しておく。</p> 83 <pre><code>$ doas httpd -n 84 configration OK</code></pre> 85 86 <h2>証明書の発行と自動更新の設定</h2> 87 <p>httpsによる暗号化に対応するため、Let's Encryptを使って証明書を発行する。OpenBSDには<code>acme-client</code>という便利なスクリプトが付いてきてほぼ全部自動でやってくれる。まずはこの<code>acme-client</code>の設定を変更して自分のドメインの証明書を取得するようにする。</p> 88 <pre><code>$ doas cp /etc/examples/acme-client.conf /etc/ 89 $ doas vi /etc/acme-client.conf</code></pre> 90 <pre><code># 91 # $OpenBSD: acme-client.conf,v 1.4 2020/09/17 09:13:06 florian Exp $ 92 # 93 authority letsencrypt { 94 api url "https://acme-v02.api.letsencrypt.org/directory" 95 account key "/etc/acme/letsencrypt-privkey.pem" 96 } 97 98 authority letsencrypt-staging { 99 api url "https://acme-staging-v02.api.letsencrypt.org/directory" 100 account key "/etc/acme/letsencrypt-staging-privkey.pem" 101 } 102 103 authority buypass { 104 api url "https://api.buypass.com/acme/directory" 105 account key "/etc/acme/buypass-privkey.pem" 106 contact "mailto:<i><your_mail_address></i>" 107 } 108 109 authority buypass-test { 110 api url "https://api.test4.buypass.no/acme/directory" 111 account key "/etc/acme/buypass-test-privkey.pem" 112 contact "mailto:<i><your_mail_address></i>" 113 } 114 115 domain <i><server_domain></i> { 116 alternative names { secure.<i><server_domain></i> } 117 domain key "/etc/ssl/private/<i><server_domain></i>.key" 118 domain full chain certificate "/etc/ssl/<i><server_domain></i>.fullchain.pem" 119 sign with letsencrypt 120 }</code></pre> 121 <p>変更箇所は<code>contact</code>の部分のメールアドレスと、<code>domain</code>の部分のドメイン名。</p> 122 <p>続いて<code>acme-client</code>を実行して証明書を発行する。</p> 123 <pre><code>$ doas acme-client -v <i><server_domain></i></code></pre> 124 <p>次に<code>cron</code>を用いて証明書の自動更新を行うようにする。</p> 125 <pre><code>$ doas crontab -e</code></pre> 126 <pre><code>... 127 #minute hour mday month wday [flags] command 128 19 2 * * * acme-client -v <i><server_domain></i> && rcctl reload httpd 129 ... 130 </code></pre> 131 <p>ここで設定した時間は適当。サーバーが暇そうな時間にする。僕のサーバーはいつも暇。</p> 132 133 <h2>ホームページのファイルのアップロード</h2> 134 <p>ウェブページに表示させたい内容のファイルをサーバーにアップロードする。試すだけであれば適当なファイルでいい。場所は今回の設定では<code>/var/www/htdocs/www.<i><server_domain></i>/</code>以下。ただし<code>httpd.conf</code>で<code>chroot</code>や、<code>server</code>ディレクティブの<code>location</code>ディレクティブの<code>root</code>の値を変更していれば、<code><i><chroot></i>/<i><root></i>/</code>にアップロードする。ここではテストのために適当なものを置いておく。</p> 135 <pre><code>$ doas mkdir /var/www/htdocs/www.<i><server_domain></i> 136 $ echo '<h1>unko</h1>' | doas tee /var/www/htdocs/pub/index.html</code></pre> 137 138 <h2>接続の確認</h2> 139 <p>最後に<code>httpd</code>を起動して接続を確認する。まずは<code>rc.conf.local</code>に<code>httpd</code>の起動を許可するように記入。</p> 140 <pre><code>$ echo 'httpd_flags=' | doas tee -a /etc/rc.conf/local</code></pre> 141 <p>続いてrcに登録、起動。</p> 142 <pre><code>$ doas rcctl start httpd 143 $ doas rcctl enable httpd</code></pre> 144 <p>ブラウザでアクセスしてみる。</p> 145 146 <h2>おわりに</h2> 147 <p>とりあえず残したかったので書いてみたが、冒頭でも言った通り知識が曖昧であることに気づかされた。文章もいまいち分かりにくい箇所が多いがとりあえずこのまま置いておく。日記の記事ではないので気が向いたときに少しずつ改訂できればいいかな。</p> 148 149 <h2>参考文献</h2> 150 <ul> 151 <li><a href="https://man.openbsd.org/httpd">httpd(8)</a>.Openbsd manual pages.2022-06-27閲覧</li> 152 <li><a href="https://man.openbsd.org/httpd.conf">httpd.conf(5)</a>.Openbsd manual pages.2022-06-27閲覧</li> 153 <li><a href="https://man.openbsd.org/acme-client">acme-crient(1)</a>.Openbsd manual pages.2022-06-27閲覧</li> 154 <li><a href="https://man.openbsd.org/acme-client.conf">acme-crient.conf(5)</a>.Openbsd manual pages.2022-06-27閲覧</li> 155 <li><a href="https://man.openbsd.org/crontab">crontab(1)</a>.Openbsd manual pages.2022-06-27閲覧</li> 156 <li><a href="https://letsencrypt.org/">Let's Encrypt</a>.Let's Encrypt.2022-06-27閲覧</li> 157 <li><a href="https://ja.wikipedia.org/wiki/Time_to_live#DNS%E3%83%AC%E3%82%B3%E3%83%BC%E3%83%89%E3%81%AETime_to_live">Time to live</a>.Wikipedia.2022-06-27閲覧</li> 158 </ul>