【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

今回も AWS に Sophos を導入する手順について解説します。

構成はタイトルの通り AWS に Sophos を導入し、プライベートサブネットにいるサーバー(Webサーバー)が「インバウンド」「アウトバウンド」で Sophos を経由する設定です。

今回は【Part.3】になります。

 

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.1】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.2】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

今回の作業

今回は以下の2点の作業をします。

 

 

 

 

ACM(AWS Certificate Manager)で SSL 証明書が無料で取得できる

AWS管理画面より「セキュリティ、アイデンティティ、コンプライアンス」-「Certificate Manager」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

 

「AWS Certificate Manager」の画面に移動したら「証明書のプロビジョニング」「今すぐ始める」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

 

「証明書のリクエスト」画面で「パブリック証明書のリクエスト」を選択して「証明書のリクエスト」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

 

「ステップ1:ドメイン名の追加」で今回追加する独自ドメイン名を入力し「次へ」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

「ステップ2:検証方法の選択」画面で「DNS の検証」を選択して「確認」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

「ステップ3:確認とリクエスト」画面で設定内容を確認し「確認とリクエスト」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

 

「ステップ4:検証」画面で、ドメインの横にある「▲」をクリックして展開します。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

 

 

「ステップ4:検証」画面で、下図のように「独自ドメイン名」を展開したら、「Route 53 でのレコードの作成」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

「Route 53 でのレコードの作成」画面が表示されたら内容を確認し「作成」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

 

 

下図のように「成功」のメッセージが表示されることを確認します。【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

下図のようにエラーが出力されずに「SSL 証明書の発行」「SSL 証明書の検証」が成功していることを確認します。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

ELB に HTTPS のポートを許可し SSL 証明書を取り込む設定手順

次に ELB 側の設定をします。

以下の 2つの設定を行ないます。

  1. ELB に SSL 証明書を取り込む
  2. ELB に TCP/443(HTTPS)のアクセスを許可する

 

 

ELB に SSL 証明書を取り込む

AWS 管理画面より「サービス」-「コンピューティング」-「EC2」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

左側ペインより「ロードバランサ―」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

対象の ELB を選択します。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

「リスナー」タブをクリックし「編集」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

「リスナーの編集」画面で「追加」ボタンをクリックし、以下の設定を入れます。

設定を入れたら右側にある「変更」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

「証明書の選択」画面で以下のように設定します。

証明書タイプ ← 「ACM から証明書を選択する(推奨)」を選択します。

証明書 ← 先ほど取得した「SSL 証明書」を選択します。

設定したら「保存」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

下図のように「SSL 証明書」が選択されていることを確認し「保存」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

「新しいリスナーの作成」「リスナーの更新が完了しました。」のメッセージが表示されることを確認し「閉じる」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

ELB に TCP/443(HTTPS)のアクセスを許可する

次に ELB のセキュリティグループの設定をします。

対象の ELB の「説明」タブをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

「ソースセキュリティグループ」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

「インバウンド」タブをクリックして「編集」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

「インバウンドルールの編集」画面で以下のように設定します。

設定が完了したら「保存」ボタンをクリックします。 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

インターネット経由で「HTTPS」での動作確認

ここまで設定が完了したらインターネット経由で HTTPS でアクセスができるか確認します。

 

ブラウザを開き、URL 欄に「https://独自ドメイン名」を入力してアクセスします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

SSL 証明書を確認するために、下図のように緑色の「カギ」のマークをクリックし、「>」のマークをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

下図のように「詳細を表示」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

ページ情報が表示されたら「証明書を表示」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

「証明書ビューアー」より Amazon より発行されたことが確認できます。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

AWS の Windows インスタンス の IIS で HTTP → HTTPS のリダイレクトをする

現在は以下のような構成になっています。

ブラウザより TCP/80(HTTP)にアクセス ← Web サーバーの TCP/80(HTTP)にアクセス

ブラウザより TCP/443(HTTPS)にアクセス ← Web サーバーの TCP/443(HTTPS)にアクセス

 

しかしせっかく AWS より SSL 証明書を取得して ELB にインポートしたので

これを TCP/80 からアクセスが来ても、TCP/443 からアクセスが来ても「TCP/443(HTTPS)にリダイレクト」をしてセキュアな環境を保ちてるように設定します。

 

しかし、これが思ったより難しかったです。

 

ALB(Application Load Balancer)、ELB(Elastic Load Balancer) 共にロードバランサ上の設定で「HTTP→HTTPS」へのリダイレクトはできない

当初は「さすがに Application Loadbalancer は L7 機能が付いているから、ロードバランサ上でリダイレクトすればいいから簡単だろう」と思っていましたが、これができませんでした。

 

ALB、ELB 共に機能を調べましたが

両方ともロードバランサの設定で「HTTP→HTTPS」へのリダイレクトはできないことが分かりました。(2018年7月現在)

 

そのため、以下の AWS の公式サイトの通りに Web サーバー側で設定をする必要があります。

※ただし Apache や nginx などは参考になりそうですが、IIS は参考になりませんでした。

 

 

サーバーのHTTPトラフィックをロードバランサのHTTPSにリダイレクトするにはどうすればよいですか?

https://aws.amazon.com/jp/premiumsupport/knowledge-center/redirect-http-https-elb/

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

AWS Windows インスタンス上の IIS で HTTP → HTTPS のリダイレクトループから抜け出す設定手順

以下の記事を参考に AWS Windows インスタンス上の IIS で HTTP → HTTPS → HTTP → HTTPS のリダイレクトループを起こさずに設定する手順を解説します。

 

【AWS】HTTPS+ELB リダイレクトループから抜け出す方法とは

https://blog.interstellar.co.jp/2017/08/awshttpselb.html

勉強になりました。ありがとうございました!

 

 

 

 

URL Rewrite モジュールをインストールする

初めに Windows Server 2016 に「URL Rewrite モジュール」をインストールします。

 

以下のURLにアクセスします。

https://www.microsoft.com/en-us/download/details.aspx?id=47337

 

 

 

「Download」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

ダウンロードした「rewrite_amd64.msi」ファイルをダブルクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

「IIS URL Rewrite Module 2 Setup」画面が表示されるので「I accept the terms in the License Agreement」にチェックを入れて「Install」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

エラーなくインストールが完了したら「Finish」ボタンをクリックして画面を閉じます。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

IIS(Internet Information Services)上での設定

次に IIS(インターネット インフォメーション サービス)上での設定をします。

 

 

スタートメニューより「Internet Information Services(IIS)」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

IIS管理画面が起動したら、左側ペインよりサイトを選択し、右側ペインより「URL Rewrite」をダブルクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

「URL Rewrite」の画面に移動したら、右側ペインより「Add Rule(s)」をクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

「Add Rule(s)」画面が表示されたら「Blank rule」を選択して「OK」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

「Edit Inbound Rule」画面で以下のように設定します。

Match URL

ここまで設定したら下図のように「Conditions」「Add」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

「Add Condition」画面が表示されるので以下のように設定を入れます。

設定が完了したら「OK」ボタンをクリックして「Add Condition」画面を閉じます。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

次に「Action」のセクションで以下のように設定します。

Action

Action Type ← 「Redirect」を選択します。

Redirect URL ← 「https://{SERVER_NAME}{URL}」と入力します。

Append query string ← チェックを入れます。

Redirect type ← 「Permanent(301)」を選択します。

設定が完了したら右側ペインの「Apply」ボタンをクリックします。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

 

下図のように「The changes have been successfully saved.」のメッセージが表示されることを確認し、IIS 管理画面を閉じます。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

http から https への URL リライト動作確認

最後に「http」から「https」への URL リライトの動作確認をします。

 

ブラウザを起動し、URL 欄に「http://~」と入力します。 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

 

以下のように「https://~」へ自動的に URL リライトされることを確認します。

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

 

 

過去の記事

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.1】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.2】

 

【AWS】Sophos を導入し「インバウンド」と「アウトバウンド」で Sophos を経由するように設定する【Sophos】【Part.3】

 

 

Sophos の日本語のマニュアル(管理者ガイド)の探し方

Sophosの詳しい日本語のマニュアル(すべての機能が解説している700ページ近いマニュアル)の探し方です。

迷った時は小まめにマニュアルを読むようにします。

 

 

Sophos 日本語ページにアクセスします。

https://www.sophos.com/ja-jp.aspx

 

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

上のメニュー画面より「サポート」タグをクリックします。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

下図のように「ドキュメント」タグをクリックします。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

 

「製品の検索」のプルダウン一覧より「Sophos UTM」を選択します。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

 

「ソフトウェア UTM 9」より日本語版の管理者ガイドを選択します。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

 

Posted by 100%レンタルサーバーを使いこなすサイト管理人