最近ブラウザの認証が強化されるらしい
どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、Let's Encryptという所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。
Let's Encryptとは
2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。
Let's Encryptクライアントのインストール
Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。
# emerge -av app-crypt/certbot # emerge -av app-crypt/certbot-apache
nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。
証明書の取得
インストールしたcertbotコマンドを実行します
# certbot
ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。
Apacheに対する証明書の設定
多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね~
証明書自動更新の設定
先程のLet's Encryptのクライアントには、証明書更新機能があります。
# certbot renew
すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。
一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。
ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。
Page Info | |
---|---|
Page Name : | Gentoo Linuxな生活/SSL/TLS証明書で悩む |
Page aliases : | None |
Page owner : | maruo |
Can Read | |
Groups : | All visitors |
Users : | All visitors |
Can Edit | |
Groups : | No one |
Users : | maruo |