CentOS7にLet’sEncliptを追加する。
証明書を発行してよいサーバかどうか、Let’sEncliptサーバが確認するファイルを自鯖に配置するらしい。
通信に一手間かかる気がするが…初回アクセスだけって意味なのだろうか?
# レポジトリ追加
yum install epel-release
yum install certbot python-certbot-apache
# certbotの設定
certbot certonly –webroot -w /home/xxxxx/html/ -d sample.com
※/home/xxxxx/html/ ← ドキュメントルート(公開ディレクトリ)
※sample.com ← ドメイン
ここから対話形式で設定を行うことができる。はじめに、通知などのEメールを設定する。次に、規約に同意するか聞かれるためAgree(同意)選択する。次に、お知らせ情報メール送信の有無を確認される(任意)。
# 証明書ファイルや鍵などが配置されるので…
/etc/letsencrypt/live/sample.com/cert.pem
/etc/letsencrypt/live/sample.com/privkey.pem
/etc/letsencrypt/live/sample.com/chain.pem
# ssl.confから読み込むため下記を記述する
# デフォルトのバーチャルホストに設定された初期設定を行いました。複数の証明書を同一ディレクトリに設定する場合はバーチャルホストを別に分けて設定しないといけないと思われます(参考URL:https://kazuhira-r.hatenablog.com/entry/20180803/1533306833)
SSLCertificateFile /etc/letsencrypt/live/sample.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sample.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/sample.com/chain.pem
# サーバを再起動したところ、443ポートでSSL化されたことを確認した。たしかに証明書などを自動に配置してくれるのでベリサイン・ノートンよりも楽であるが、誰もが簡単に導入できるか?というとそうでもない。躓いたら自分で調べながら解決するよりほかにない。80ポートを閉じるか、転送させたり等もしなければならないが、そのへんのWEBサーバの設定知識も必要。あくまでサーバ管理者を楽にするためのツールが付属しているってだけ。
# 3ヶ月毎に証明書を更新する必要がある。更新は「certbot renew」を実行する。更新の後は、Apacheの再起動が必要。したがってcronなどで、「証明書の更新→Apache再起動」をしておけばよいらしい。今回は自分でそのへんを確認しながら行いたいので、面倒くさくなってきたらcronを設置してみることにする。
# 参考サイト
https://weblabo.oscasierra.net/letsencrypt-2/
コメント