日別アーカイブ: 2016年8月21日

無料SSLの入手(Let’s Encrypt)

letsencrypt-logo-horizontal

オレオレ証明書も最近のブラウザだと警告がでます。
かといって、超個人的なプライベートサイトで有料SSLを利用する気にもなれません。
ということで、無料でできるLet’s Encryptを利用してみます。


Let’s Encryptについて

Let’s Encrypt は、認証局(CA)として 「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS(TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクトです。

非営利団体のISRG運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団、モジラ財団などの大手企業・団体がスポンサーとして Let’s Encrypt を支援しています。


導入手順

1)  cerbotをダウンロードする(配備場所は/usr/bin)

# curl https://dl.eff.org/certbot-auto -o /usr/bin/certbot-auto
# chmod 700 /usr/bin/certbot-auto

2) nginx等が動作している場合は停止(standaloneで実行するため)

# certbot-auto certonly \
–standalone \
-d exsample.com \
-d www.exsample.com \
–email foober@exsample.com

コマンド実行後、yum等を利用し必要モジュールの自動実行が動作

2)以下のようなライセンス承認の画面がでるので[Accept]

WS000002

この間、サーバでhttpとhttpsが動作し通信可能かテストが実施される。
接続不可の場合は、エラーが表示されるのでfirewalでフィルタしていないか?などの
確認が必要となる。

3)処理完了後、正常であるならば以下のメッセージが表示される。

IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/exsample.com/fullchain.pem. Your cert will
expire on 2016-11-18. To obtain a new or tweaked version of this
certificate in the future, simply run certbot-auto again. To
non-interactively renew *all* of your certificates, run
“certbot-auto renew”
– If you lose your account credentials, you can recover through
e-mails sent to foober@exsample.com
– Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
– If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate
Donating to EFF:                    https://eff.org/donate-le

4)確認をすると、以下のように鍵が生成されているのがわかる。

# ls -al /etc/letsencrypt/live/exsample.com/
total 0
drwxr-xr-x 2 root root 75 Aug 21 05:47 .
drwx—— 3 root root 27 Aug 21 05:47 ..
lrwxrwxrwx 1 root root 38 Aug 21 05:47 cert.pem -> ../../archive/exsample.com/cert1.pem
lrwxrwxrwx 1 root root 39 Aug 21 05:47 chain.pem -> ../../archive/exsample.com/chain1.pem
lrwxrwxrwx 1 root root 43 Aug 21 05:47 fullchain.pem -> ../../archive/exsample.com/fullchain1.pem
lrwxrwxrwx 1 root root 41 Aug 21 05:47 privkey.pem -> ../../archive/exsample.com/privkey1.pem