サムネイルはAdobe Fireflyに作ってもらったのですがなんかおかしいw

参考サイト (Nextcloud版)

WordPress(Amazon Lightsail Bitnami) Apache – Caddy – Tailscale —— Client(Tailscale)
の構成でIPv4 ファイアウォールは22のみ解放して外部からは接続できないようにしつつ
ブラウザからの接続はSSL(Tailscale Let’s Encrypt)で安全に接続を行いたい時のメモ

Tailscaleアカウント作成、設定でMagicDNSを使えるようにしている前提、設定されてない場合は先に設定する

MagicDNS · Tailscale Docs
Find out how to automatically register DNS names for devices in your Tailscale network.
tailscale.com

これ以下はAmazon LightsailのSSHコンソールで実行

デフォルトのApacheが443を開いているので一旦停止

# stop apache
sudo /opt/bitnami/ctlscript.sh stop apache

Bitnamiの443ポートを変更(ここでは443->8443としていますが任意)
SSLの設定ファイルを削除するとうまく動かなかったのでポート変更していますが良い方法があれば連絡ください

# bitnami change https port
sudo sed -i 's/Listen 443/Listen 8443/g'  /opt/bitnami/apache/conf/bitnami/bitnami-ssl.conf
sudo sed -i 's/default_:443/default_:8443/g'  /opt/bitnami/apache/conf/bitnami/bitnami-ssl.conf

Caddyをインストール

sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list
sudo apt update
sudo apt install caddy

Tailscaleをインストール

# install Tailscale
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Tailscaleへの接続認証URLが表示されるので接続する

Caddyの設定を変更

sudo vi /etc/caddy/Caddyfile
{
        auto_https disable_redirects
        ocsp_stapling off
}

wordpress.example.ts.net {
        root * /opt/bitnami/wordpress
        encode zstd gzip
        file_server
        reverse_proxy localhost:80 {
                flush_interval -1
        }
        tls {
                get_certificate tailscale
        }
        header {
                Strict-Transport-Security max-age=31536000;
        }
}

wordpress.example.ts.netの部分は自分のTailscale環境のMagicDNSに合わせる

Tailscaleの設定変更

sudo vi /etc/default/tailscaled

最後に”TS_PERMIT_CERT_UID=caddy”を追加

# Set the port to listen on for incoming VPN packets.
# Remote nodes will automatically be informed about the new port number,
# but you might want to configure this in order to set external firewall
# settings.
PORT="41641"

# Extra flags you might want to pass to tailscaled.
FLAGS=""

TS_PERMIT_CERT_UID=caddy

サービスをスタート

sudo /opt/bitnami/ctlscript.sh restart apache
sudo systemctl restart caddy