最近ブラウザの認証が強化されるらしい anchor.png

どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、Let's Encryptという所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。

Page Top

Let's Encryptとは anchor.png

2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。

Page Top

制限事項 anchor.png

  • ドメイン認証(DV)SSL/TLS証明書しか取得できない。「企業認証(OV)証明書」や「EV証明書」は無理
  • 証明書の期限は3ヶ月。周期的に更新の必要がある
Page Top

設定 anchor.png

Page Top

Let's Encryptクライアントのインストール anchor.png

Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。

# emerge -av app-crypt/certbot
# emerge -av app-crypt/certbot-apache

nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。

Page Top

証明書の取得 anchor.png

インストールしたcertbotコマンドを実行します

# certbot

ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。

Page Top

Apacheに対する証明書の設定 anchor.png

多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね~

Page Top

証明書自動更新の設定 anchor.png

先程のLet's Encryptのクライアントには、証明書更新機能があります。

# certbot renew

すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。

一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。

ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。


Front page   Freeze Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 2024, today: 1, yesterday: 0
Princeps date: 2018-04-30 (Mon) 21:02:11
Last-modified: 2018-04-30 (Mon) 21:24:52 (JST) (2353d) by maruo
ページ内検索

ログイン

ユーザー名:


パスワード:





パスワード紛失

メインメニュー

サブメニュー
自宅鯖計画

Gentoo Linuxな生活

玄箱HGにGentoo格闘記

航空ショーへ行こう

モータースポーツな世界

奥深き写真の世界への誘い

我思う ゆえに我あり



携帯用QRコード