httpsに対応したい

[kakutani]

2017年ともなるといよいよSSL必須ぽい流れなので、やっていきたい。
具体的なきっかけは、 asakusarb/oedo06#9

やりたいこと

• regional.rubykaigi.org のssl対応(すくなくともoedo06以降; 古いやつはまあいいか)
• rubykaigi.orgのssl対応(すくなくとも2017以降; 古いやつはまあいいか)
• cfp.rubykaigi.orgのssl対応

課題

• rko-routerで使っているbuildpackの https://github.com/ryandotsmith/nginx-buildpack がhttps_moduleを組み込んでない
  • PRはあるがマージ/リリースされてない(changed versions and added ssl module ryansmith3136/nginx-buildpack#57)
• rk.orgとregional.rk.orgの証明書が必要

やったこと

• changed versions and added ssl module ryansmith3136/nginx-buildpack#57 をcherry-pickしたforkを試した(動いたっぽい)
• let's encryptで証明書をつくった(SANsっていうの? regional.rubykaigi.orgとrubykaigi.org用の証明書)
  • (ごにょごにょして作った証明書はkakutaniの手元にある状況)
• cfp.rubykaigi.orgの証明書はまだつくってない

次にやること

• buildpackで使うnginxを https://github.com/kakutani/nginx-buildpack にする
• proxy_passでhttpsを使うようにする(oedo06, kansai2017)
• nginxでregional.rubykaigi.org の証明書を使うようにする
• nginxでrubykaigi.org の証明書を使うようにする
• nginxでcfp.rubykaigi.org の証明書を使うようにする

困ってること: 証明書はどこにどうやって置けばいいんだろ

buildpackで動かしているnginxに証明書を読み込ませるにあたって、証明書をどこに置いたらいいのか…。

herokuのssl endpoint(いまのこう呼ぶのかな? heroluappの設定画面のSSLの項目)から証明書を追加しようとしたらうまくいかなかった(1回しか試してないので、なにかやり方がまずかったのかも?)。
推測しているのは、これはherokuのアプリ用のものであって、buildpackで動かしているnginxの証明書のことなんか知らんがな、っていうことなのでは…ということです。

自力で証明書を読み込ませるばあい、herokuのアプリ用のディスク的な領域のどこにどーやって証明書ファイルを送りこむのが手間がなくていいかな…というところで力尽きております 😲
(publicになっているgithub上のリポジトリにpemファイルをセットで突っ込むのはべんりだけど行儀悪いよね…)

[kakutani]

oedo06 は regional.rubykaigi.org/oedo06 でアクセスできるようになった(リダイレクトされない)気がするのだけれど、同じ設定だと思われる kansai2017 がうまくいかない気がするけど、何か見落しているのかも…。

[sorah]

Heroku のアプリって Heroku router で HTTP も HTTPS も終端してるので、アプリ側は証明書もたなくていいんですよね。nginx には X-Forwarded-Proto: https つきで http トラフィックがくるようになるとおもいますよ ^[要出典]

[kakutani]

Heroku のアプリって Heroku router で HTTP も HTTPS も終端してるので、アプリ側は証明書もたなくていいんですよね。nginx には X-Forwarded-Proto: https つきで http トラフィックがくるようになるとおもいます

なるほどっ。落ち着いてcerts:addを試してみます。

[shyouhei]

現状:cfp.rubykaigi.orgはcloudflare側はSSL化されている。

[sorah]

certs:add すれば何も考えずにうごくんじゃないのって思ってるけどどうなんですかね。誰かやってみてほしい。

[sorah]

今なら certs:auto:enable か (Paid dymoのみ) https://devcenter.heroku.com/articles/automated-certificate-management

[zunda]

rko-routerアプリがheroku domains:add regional.rubykaigi.orgされてるはずですよね？regional.rubykaigi.orgをCNAMEでregional.rubykaigi.org.mastodon.zunda.ninja.herokudns.comに向けてからheroku certs:auto:enableをしてしばらく待てば行けるはずです！　-- 読み返したらターゲットのホスト名がむちゃくちゃだ！失礼しました。

[snoozer05]

TODO: certs:auto:enable を試してみる

[takahashim]

heroku certs:auto:enable -a rko-router を試した所、Apps using ACM are not allowed to have wildcard domains でNGでした。むむーん。

[zunda]

あー。routerだし。その場合は、Let's Encryptのcertbotでwildcardの証明書を作ってもらって、

heroku certs:add fullchain.pem privkey.pem -a rko-router

するととりあえずhttpsで受けられるようになると思います。

この体制で続けるとすると、証明書の有効期限が3ヶ月くらいしかないので、(1) certbotを起動、(2) DNSチャレンジのTXTフィールドをDNSプロバイダに設定、(3) できた証明書をheroku certs:update fullchain.pem privkey.pem、という作業を2-3ヶ月ごとに繰り返さなきゃいけなくなるのが残念。