ページへ戻る

− Links

 印刷 

Gentoo Linuxな生活​/SSL​/TLS証明書で悩む のバックアップ差分(No.1) :: Nest Of Hawk

xpwiki:Gentoo Linuxな生活/SSL/TLS証明書で悩む のバックアップ差分(No.1)

  Next »[4]
1: 2018-04-30 (月) 21:02:11 maruo[5] ソース[6]
Line 1: Line 1:
 +*最近ブラウザの認証が強化されるらしい [#i52e244e]
 +どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、[[Let's Encrypt>https://letsencrypt.jp/]]という所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。
 +
 +*Let's Encryptとは [#ue00c5c7]
 +2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。
 +
 +**制限事項 [#g64b2726]
 +-ドメイン認証(DV)SSL/TLS証明書しか取得できない。「企業認証(OV)証明書」や「EV証明書」は無理
 +-証明書の期限は3ヶ月。周期的に更新の必要がある
 +
 +*設定 [#v63a4a31]
 +**Let's Encryptクライアントのインストール [#x8b5cd4a]
 +Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。
 + # emerge -av app-crypt/certbot
 + # emerge -av app-crypt/certbot-apache
 +
 +nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。
 +
 +**証明書の取得 [#s5f4149b]
 +
 +インストールしたcertbotコマンドを実行します
 +
 +# certbot
 +
 +ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。
 +
 +**Apacheに対する証明書の設定 [#ja1c8034]
 +多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね~
 +
 +*証明書自動更新の設定 [#l4fc4717]
 +先程のLet's Encryptのクライアントには、証明書更新機能があります。
 +
 + # certbot renew
 +
 +すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。
 +
 +一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。
 +
 +ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。
  Next »[4]