読者です 読者をやめる 読者になる 読者になる

えむにわリソース

ITのスキマ的なあれこれを書きます。

Azure Web Apps に Let's Encrypt を使って簡単に SSL を導入する

Azure Let's Encrypt WebApps

本稿の目的

OSと旧ポータルに依存せずに、 Azure-CLIを用いて手早く Let’s Encrypt を設定します

本稿の対象者

本稿は下記の全てに当てはまっている人が対象です。

独自ドメインではなく *.azurewebsites.ne で構わない場合は
元々用意されているワイルドカード証明書を使いましょう。

Let’s encrypt設定完了までの手順

1. Azure-CLIをインストールする

Node.jsがインストールされた環境で、以下を実行します。
sudoの有無は環境によって適宜判断してください。

npm install -g azure-cli

インストールが完了したらAzure-CLIでAzureにログインしましょう

azure login

f:id:m2wasabi:20170207043233p:plain リンクにアクセスして コードを入力して Azureのアカウントでログインしましょう。 f:id:m2wasabi:20170207043321p:plain

2. 対象の WebAppsを立てる

カスタムドメインが設定された App Service を用意しましょう
App Service プランは Basic以上を選択しましょう
f:id:m2wasabi:20170207052737p:plain

3. ストレージアカウントの作成する

Let’s EncryptのSite Extentionが使うストレージアカウントを作成します。
ストレージアカウントは壊れて困るデータは入らないので、任意の設定で構いません。
今回は、パフォーマンス:Standard , レプリケーション:LRS にしました。

Azure-CLIで作る場合は以下のコマンドで作成します。

azure storage account create --sku-name LRS --kind Storage -l <location> -g <resourcegroup> <name>

例えばこんなコマンドになります。

azure storage account create --sku-name LRS --kind Storage -l japaneast -g myresource letsencrypt

ブラウザでportalにアクセスして作成しても良いです。
f:id:m2wasabi:20170207044625p:plain

4. Azure AD でアプリを登録し、サービス プリンシパルを作成する

Let'sEncryptのSiteExtensionがリソースにアクセスするための サービス プリンシパルを作成します。
難しい専門用語ですが、要は「サービス用のアカウント」と「アクセス権」という認識で良いと思います。

Azure-CLIで以下のコマンドで作成します。

azure ad sp create -n <application_name> -p <password>
azure ad sp create -n letsencrypt -p HogeFuga123

実行すると、Object IDとService Principal Namesが得られるのでメモしておきましょう。 f:id:m2wasabi:20170207044951p:plain

これはブラウザでportalにアクセスして作成する場合少し面倒です。
サービスプリンシパルは旧ポータルでしか作成できません。
旧ポータルは繋がらないこともあるので、Azure-CLI使うことを強くお勧めします…

5. リソースグループへのアクセス権限付与

作成したサービス プリンシパルが、リソースグループへアクセスできるよう権限を付与します。
よく嵌るのが、間違えて対象のAppServicesに与えてしまうことです。

Azure-CLIでもできますが、これはportalから設定したほうが楽です。
役割を「共同作成者」、
ユーザーを先ほど追加したアプリ名にしましょう。(選択肢には無いですが、フォームに入力すると出てきます。) f:id:m2wasabi:20170207045222p:plain

尚、Azure-CLI登録する場合は、

azure role assignment create --objectId <サービスプリンシパルのObject ID> -o Contributor -c /subscriptions/<WebAppsの所属するサブスクリプションID>/resourceGroups/<リソースグループ名>

参考になりにくいですが、実際に入力する場合、以下のようなイメージになります。
なお例示のIDはランダム文字です。

azure role assignment create --objectId abc12345-1234-5678-9abc-0123456789ab -o Contributor -c /subscriptions/98765412-9876-4567-3214-0123456789ab/resourceGroups/myawsomeproject

6. サービスプリンシパルのSecretKeyの生成

AzureAD(Azure Active Directory) →アプリの登録→アプリ名→設定→キー
でsecret keyを生成します。 f:id:m2wasabi:20170207045613p:plain

7. WebAppsの環境変数を登録する

WebAppsの環境変数に設定する文字列は以下です ストレージアカウント接続文字列の取得
ストレージアカウントの「アクセス キー」の項目より、
key1の右端の「・・・」をクリックし、「接続文字列の表示」を押すと以下のフォーマットの文字列が取得できます。
f:id:m2wasabi:20170207050021p:plain

DefaultEndpointsProtocol=https;AccountName={ストレージ アカウント名};AccountKey={key1};

この文字列を 【ストレージ】 と定義する。

AzureAD の「ドメイン名」の項目より、プライマリドメインをコピー。(*.onmicrosoft.comの形式) この文字列を 【ADドメイン と定義する。 f:id:m2wasabi:20170207050341p:plain

課金>作成したアクティブなサブスクリプション から得られる サブスクリプションID】 f:id:m2wasabi:20170207050946p:plain

項目名 入れる内容
AzureWebJobsStorage 【ストレージ】
AzureWebJobsDashboard 【ストレージ】
letsencrypt:Tenant 【ADドメイン
letsencrypt:SubscriptionId サブスクリプションID】
letsencrypt:ClientId 4で取得したサービスプリンシパルのObject ID
letsencrypt:ClientSecret 6で取得したサービスプリンシパルのSecretKey
letsencrypt:ResourceGroupName リソースグループ名
letsencrypt:ServicePlanResourceGroupName リソースグループ名

f:id:m2wasabi:20170207051225p:plain

8. SiteExtensionをインストールする

SiteExtension(拡張機能)でAzure Let’s Encrypt (x86)をインストールする f:id:m2wasabi:20170207051415p:plain

9. 証明書を発行する

拡張機能の【参照】から
UIに従っていけば発行できます。
f:id:m2wasabi:20170207051600p:plain

f:id:m2wasabi:20170207051742p:plain f:id:m2wasabi:20170207051754p:plain

f:id:m2wasabi:20170207052130p:plain f:id:m2wasabi:20170207052135p:plain f:id:m2wasabi:20170207052140p:plain f:id:m2wasabi:20170207052147p:plain

10. 確認と後片づけ

これでめでたくSSLの導入が出来ました。httpsでサイトにアクセスしてみましょう。
f:id:m2wasabi:20170207052340p:plain

また、WebJobsは次の証明書更新まで用がないので止めても大丈夫です。

11. 証明書を再発行するときは

WebJobsでLet'sEncryptを起動して、9の手順を行います。

簡単ですね!

付録:ルートディレクトリを変更する場合

PHPとか入れた時にドキュメントルート移動したら証明書作れなくなった!」
そんな時

アプリケーションでpublicの階層掘ってる場合は
challengeファイルにアクセスするためのweb.configを書けばOKです

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>

        <!-- Letsencrypt challenge file -->
        <rule name="AcmeChallenge" stopProcessing="true">
          <match url="^.well-known/acme-challenge/(.*)$" />
        </rule>

      </rules>
    </rewrite>
  </system.webServer>
</configuration>

参考リンク

http://blog.shibayan.jp/entry/20151111/1447172124
しばやん氏のブログ。
証明書の作成方法が本家準拠なので素直にこの方法で出来ます。
しかし実施環境に多少のハードルがあります

https://github.com/sjkp/letsencrypt-siteextension/wiki/How-to-install
今回使う Let’s Encrypt Site Extension の本家wikiです。
Azureの周辺知識が完璧で英語もさくさく読めるなら、もうここに行ってみてください。

https://blogs.technet.microsoft.com/mskk-cloudos/2016/02/22/lets-encrypt-azure-web-apps-https/
マイクロソフトの中の人のブログ。
導入説明は間違ってないけれど、用語の意味が分からなくてどうしていいか詰んだり、
旧ポータル使うとか小さすぎるスクショがダウンロードとかぐぬぬ
旧ポータルがちゃんと動いてくれれば私の記事は必要ないはずです。