*最近ブラウザの認証が強化されるらしい [#i52e244e] どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、[[Let's Encrypt>https://letsencrypt.jp/]]という所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。 *Let's Encryptとは [#ue00c5c7] 2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。 **制限事項 [#g64b2726] -ドメイン認証(DV)SSL/TLS証明書しか取得できない。「企業認証(OV)証明書」や「EV証明書」は無理 -証明書の期限は3ヶ月。周期的に更新の必要がある *設定 [#v63a4a31] **Let's Encryptクライアントのインストール [#x8b5cd4a] Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。 # emerge -av app-crypt/certbot # emerge -av app-crypt/certbot-apache nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。 **証明書の取得 [#s5f4149b] インストールしたcertbotコマンドを実行します # certbot ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。 **Apacheに対する証明書の設定 [#ja1c8034] 多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね~ *証明書自動更新の設定 [#l4fc4717] 先程のLet's Encryptのクライアントには、証明書更新機能があります。 # certbot renew すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。 一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。 ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。
(This host) = https://femt.ddo.jp