ページへ戻る

− Links

 印刷 

Gentoo Linuxな生活​/SSL​/TLS証明書で悩む のソース :: Nest Of Hawk

xpwiki:Gentoo Linuxな生活/SSL/TLS証明書で悩むのソース

« Prev[3]  
*最近ブラウザの認証が強化されるらしい [#i52e244e]
どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、[[Let's Encrypt>https://letsencrypt.jp/]]という所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。


*Let's Encryptとは [#ue00c5c7]
2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。

**制限事項 [#g64b2726]
-ドメイン認証(DV)SSL/TLS証明書しか取得できない。「企業認証(OV)証明書」や「EV証明書」は無理
-証明書の期限は3ヶ月。周期的に更新の必要がある

*設定 [#v63a4a31]
**Let's Encryptクライアントのインストール [#x8b5cd4a]
Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。
 # emerge -av app-crypt/certbot
 # emerge -av app-crypt/certbot-apache

nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。

**証明書の取得 [#s5f4149b]

インストールしたcertbotコマンドを実行します

 # certbot

ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。

**Apacheに対する証明書の設定 [#ja1c8034]
多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね~

*証明書自動更新の設定 [#l4fc4717]
先程のLet's Encryptのクライアントには、証明書更新機能があります。

 # certbot renew

すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。

一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。

ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。

« Prev[3]