前回からだいぶ間が空いてしまいましたが、RHEL9 に Web サーバーを導入していきます。
ちょうど最近 OpenLiteSpeed のリポジトリに CentOS 9 用が追加されていましたので、今回は LiteSpeed で構築し、http/3 にも対応させようと思います。
OpenLiteSpeed の導入手順
リポジトリの追加
基本的に公式サイトの手順通りに進めれば問題ありません。
|
1 |
# wget -O - https://repo.litespeed.sh | sudo bash |
epel リポジトリは導入済みなのでスキップしましたが、まだの方は下記コマンドを実行してください。
|
1 2 3 |
# subscription-manager repos --enable codeready-builder-for-rhel-9-$(arch)-rpms リポジトリー 'codeready-builder-for-rhel-9-x86_64-rpms' は、このシステムに対して有効になりました。 # dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm |
準備が整ったら OpenLiteSpeed をインストールします。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 |
# dnf install openlitespeed サブスクリプション管理リポジトリーを更新しています。 Remi's Modular repository for Enterprise Linux 9 - x86_64 539 B/s | 833 B 00:01 Remi's Modular repository for Enterprise Linux 9 - x86_64 3.0 MB/s | 3.1 kB 00:00 GPG 鍵 0x478F8947 をインポート中: Userid : "Remi's RPM repository (https://rpms.remirepo.net/) <remi@remirepo.net>" Fingerprint: B1AB F71E 14C9 D748 97E1 98A8 B195 27F1 478F 8947 From : /etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el9 これでよろしいですか? [y/N]: y Remi's Modular repository for Enterprise Linux 9 - x86_64 330 kB/s | 892 kB 00:02 Safe Remi's RPM repository for Enterprise Linux 9 - x86_64 594 B/s | 833 B 00:01 Safe Remi's RPM repository for Enterprise Linux 9 - x86_64 3.0 MB/s | 3.1 kB 00:00 GPG 鍵 0x478F8947 をインポート中: Userid : "Remi's RPM repository (https://rpms.remirepo.net/) <remi@remirepo.net>" Fingerprint: B1AB F71E 14C9 D748 97E1 98A8 B195 27F1 478F 8947 From : /etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el9 これでよろしいですか? [y/N]: y Safe Remi's RPM repository for Enterprise Linux 9 - x86_64 427 kB/s | 1.1 MB 00:02 メタデータの期限切れの最終確認: 0:00:01 前の 2023年08月15日 09時48分42秒 に実施しました。 依存関係が解決しました。 =============================================================================================================================================================== パッケージ アーキテクチャー バージョン リポジトリー サイズ =============================================================================================================================================================== インストール: openlitespeed x86_64 1.7.17-1.el9 litespeed 16 M 依存関係のインストール: dejavu-sans-fonts noarch 2.37-18.el9 rhel-9-for-x86_64-baseos-rpms 1.3 M fontconfig x86_64 2.14.0-2.el9_1 rhel-9-for-x86_64-appstream-rpms 301 k fonts-filesystem noarch 1:2.0.5-7.el9.1 rhel-9-for-x86_64-baseos-rpms 11 k freetype x86_64 2.10.4-9.el9 rhel-9-for-x86_64-baseos-rpms 391 k fribidi x86_64 1.0.10-6.el9.2 rhel-9-for-x86_64-appstream-rpms 89 k gd3php x86_64 2.3.3-9.el9.remi remi-safe 136 k gdk-pixbuf2 x86_64 2.42.6-3.el9 rhel-9-for-x86_64-appstream-rpms 496 k graphite2 x86_64 1.3.14-9.el9 rhel-9-for-x86_64-baseos-rpms 98 k harfbuzz x86_64 2.7.4-8.el9 rhel-9-for-x86_64-baseos-rpms 629 k highway x86_64 1.0.5-1.el9 epel 33 k jbigkit-libs x86_64 2.1-23.el9 rhel-9-for-x86_64-appstream-rpms 56 k langpacks-core-font-en noarch 3.0-16.el9 rhel-9-for-x86_64-appstream-rpms 11 k libX11 x86_64 1.7.0-7.el9 rhel-9-for-x86_64-appstream-rpms 648 k libX11-common noarch 1.7.0-7.el9 rhel-9-for-x86_64-appstream-rpms 210 k libXau x86_64 1.0.9-8.el9 rhel-9-for-x86_64-appstream-rpms 34 k libXpm x86_64 3.5.13-8.el9_1 rhel-9-for-x86_64-appstream-rpms 60 k libaom x86_64 3.6.1-1.el9 epel 1.8 M libargon2 x86_64 20171227-7.el9 epel 28 k libavif x86_64 0.11.1-4.el9 epel 81 k libc-client x86_64 2007f-30.el9.remi remi-safe 577 k libdav1d x86_64 1.2.1-1.el9 epel 596 k libimagequant x86_64 2.17.0-1.el9 epel 62 k libjpeg-turbo x86_64 2.0.90-6.el9_1 rhel-9-for-x86_64-appstream-rpms 178 k libjxl x86_64 0.7.0-1.el9 epel 957 k libnsl x86_64 2.34-60.el9 rhel-9-for-x86_64-baseos-rpms 77 k libpng x86_64 2:1.6.37-12.el9 rhel-9-for-x86_64-baseos-rpms 119 k libraqm x86_64 0.8.0-1.el9 epel 19 k libtiff x86_64 4.4.0-8.el9_2 rhel-9-for-x86_64-appstream-rpms 200 k libvmaf x86_64 2.3.0-2.el9 epel 177 k libwebp x86_64 1.2.0-6.el9_1 rhel-9-for-x86_64-appstream-rpms 281 k libxcb x86_64 1.13.1-9.el9 rhel-9-for-x86_64-appstream-rpms 247 k libxslt x86_64 1.1.34-9.el9 rhel-9-for-x86_64-appstream-rpms 247 k libzip x86_64 1.7.3-7.el9 rhel-9-for-x86_64-appstream-rpms 65 k lsphp74 x86_64 7.4.33-2.el9 litespeed-update 4.7 M lsphp74-common x86_64 7.4.33-2.el9 litespeed-update 622 k lsphp74-gd x86_64 7.4.33-2.el9 litespeed-update 39 k lsphp74-imap x86_64 7.4.33-2.el9 litespeed-update 41 k lsphp74-mbstring x86_64 7.4.33-2.el9 litespeed-update 469 k lsphp74-mysqlnd x86_64 7.4.33-2.el9 litespeed-update 147 k lsphp74-opcache x86_64 7.4.33-2.el9 litespeed-update 223 k lsphp74-pdo x86_64 7.4.33-2.el9 litespeed-update 77 k lsphp74-process x86_64 7.4.33-2.el9 litespeed-update 38 k lsphp74-xml x86_64 7.4.33-2.el9 litespeed-update 128 k oniguruma x86_64 6.9.6-1.el9.5 rhel-9-for-x86_64-appstream-rpms 221 k oniguruma5php x86_64 6.9.8-1.el9.remi remi-safe 219 k rav1e-libs x86_64 0.6.6-1.el9 epel 1.0 M shared-mime-info x86_64 2.1-5.el9 rhel-9-for-x86_64-baseos-rpms 561 k svt-av1-libs x86_64 0.9.0-1.el9 epel 1.7 M xml-common noarch 0.6.3-58.el9 rhel-9-for-x86_64-appstream-rpms 36 k 弱い依存関係のインストール: jxl-pixbuf-loader x86_64 0.7.0-1.el9 epel 53 k トランザクションの概要 =============================================================================================================================================================== インストール 51 パッケージ ダウンロードサイズの合計: 36 M インストール後のサイズ: 144 M これでよろしいですか? [y/N]:y |
GPG 鍵のインポートが必要な場合は「Y」でインポートしてください。
※インストールするとサービスが自動的に起動し、OS 起動時の自動実行にも追加されるので systemctl で start や enable は必要ありませんでした。
ファイヤーウォールの設定
OLS の管理画面は 7080 ポートを使用するため、管理者のみアクセスできるようにファイヤーウォールの設定を変更します。
また、HTTP/3 を有効にするためには UDP の 443 ポートも開放する必要があります。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
chain TCP { # 管理者にのみ解放 # ssh, ftps, OLS管理画面, ... tcp dport { 22, 990, 7080, ... } ip saddr @admin accept # 日本国内にのみ開放 # SMTPS, IMAPS tcp dport { 465, 993 } ip saddr @domestic accept # 全開放 # SMTP, http, https tcp dport { 25, 80, 443 } accept } chain UDP { # 全開放 # http/3 udp dport { 443 } accept } |
上記を参考に nftables の設定ファイルを修正し、サービスをリスタート(systemctl restart nftables.service)してください。
OLS 管理画面から各種設定
管理画面にログイン
初期パスワードは /usr/local/lsws/adminpasswd に記載されていますので、下記コマンドで参照できます。
|
1 2 |
# cat /usr/local/lsws/adminpasswd WebAdmin user/password is admin/パスワード |
ログインできたら、右上の「English」の部分をクリックして、日本語に変更しておきましょう。
また、最初にやっておく事として WebAdminの設定 > 一般 > ユーザー > 編集 と辿っていき、管理者パスワードを変更しておきましょう。
http ポートを 80 に変更
OLS の http ポートはデフォルトで 8088 ポートなので、80 番に変更していきます。
左のメニューから「リスナー」を開き、Default リスナーの「アクション」の項目にある虫眼鏡のアイコン(表示)をクリックします。
Default リスナーの一般設定が開きますので、アドレス設定の右にある編集ボタンをクリックします。
アドレス設定画面が開きますので、ポートを 80 に変更して保存します。
OLS を再起動し、ブラウザの新しいタブで「http://IPアドレス」にアクセスしてみます。
初期画面が表示されたら設定完了です。
SSL 証明書の取得
今回はこの手順は省略しますので、過去の記事などを参照してください。
ConoHa のユーザーなら API を使ったワイルドカード証明書がお勧めです。
VPS 割引きっぷを使っている方は、アルファ SSL でも大丈夫です。
SSL 用リスナーの追加
再び OLS の管理画面から「リスナー」を選択し、リスナーリストを追加します。
ここではリスナー名を「SSL」とし、ポートを「443」に指定、セキュアを「はい」にして保存しました。
続いて SSL のタブに移動し SSL 秘密鍵 & 証明書の項目に、先ほど Let's Encrypt で取得した鍵と証明書を指定して保存します。
- 秘密鍵ファイル:/etc/letsencrypt/live/ドメイン名/privkey.pem
- 証明書ファイル:/etc/letsencrypt/live/ドメイン名/fullchain.pem
- 証明書チェーン:はい
SSL プロトコルの編集画面で TLS v1.2 と TLS v1.3 にチェックを入れて保存します。
暗号の欄は空白にしておく事で、ベストプラクティスに従ったデフォルトの暗号を使用してくれるそうなので、下手に入力しない方が良さそうです。
セキュリティ & 機能の編集画面で下記のように設定します。
保存して OLS を再起動しましょう。
バーチャルホストの追加
続いてバーチャルホストを追加します。
Virtual Host Root はどこでも良いのですが、設定ファイルは「$SERVER_ROOT/conf/vhosts/$VH_NAME/vhconf.conf」にするのが推奨されているので、その通りにしました。
※保存しようとすると警告が出ますので、「CLICK TO CREATE」をクリックして設定ファイルを作成します。
作製したバーチャルホストのコンテキストに移動し、HSTS(HTTP Strict Transport Security)の設定をしておきます。
- URI:/
- 場所:$DOC_ROOT/
- アクセス可能:はい
- Header Operations:Header always set Strict-Transport-Security "max-age=31536000"
リスナーにバーチャルホストを紐づける
再びリスナーの項目に移動し、SSL に対して作成したバーチャルホストをマップします。
保存して OLS を再起動すれば、設定完了です。
Virtual Host Root にテスト用のファイルを設置し、「https://ドメイン名」でアクセスできることを確認してください。
http/3 で通信できているか確認する
http/3 通信ができているかチェックしてくれるサイトがあるので、そちらを利用してみます。
ドメインを入力して CHECK ボタンをクリックするだけで、簡単に診断することができます。
QUIC と HTTP/3 の両方に対応していることが確認できました。
SSL の安全性について確認する
Qualys SSL Labs で、SSL の安全性についても確認をしておきましょう。
評価 A+ なので安心ですね。
以上で基本的な OpenLiteSpeed の設定は完了です。
コメント