最近ブラウザの認証が強化されるらしい 
どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、Let's Encryptという所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。
Let's Encryptとは
2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。
制限事項
- ドメイン認証(DV)SSL/TLS証明書しか取得できない。「企業認証(OV)証明書」や「EV証明書」は無理
- 証明書の期限は3ヶ月。周期的に更新の必要がある
設定
Let's Encryptクライアントのインストール
Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。
# emerge -av app-crypt/certbot # emerge -av app-crypt/certbot-apache
nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。
証明書の取得
インストールしたcertbotコマンドを実行します
# certbot
ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。
Apacheに対する証明書の設定
多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね~
証明書自動更新の設定
先程のLet's Encryptのクライアントには、証明書更新機能があります。
# certbot renew
すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。
一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。
ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。
| ぺージ情報 | |
|---|---|
| ぺージ名 : | Gentoo Linuxな生活/SSL/TLS証明書で悩む |
| ページ別名 : | 未設定 |
| ページ作成 : | maruo |
| 閲覧可 | |
| グループ : | すべての訪問者 |
| ユーザー : | すべての訪問者 |
| 編集可 | |
| グループ : | なし |
| ユーザー : | maruo |
