参考情報

https://qiita.com/Esfahan/items/9f11b38668239d1b52c5

クライアントツール certbot

https://qiita.com/ariaki/items/5680cb6da6223844af4e

EPELパッケージがあれば一発でインストール可能

yum install python2-certbot-apache.noarch

「sudo yum reinstall python-urllib3 sudo yum reinstall python-requests」のエラーが出たのでurllib3とrequestを入れ直した。

sudo pip uninstall requests
sudo pip uninstall urllib3
sudo yum remove python-urllib3
sudo yum remove python-requests

しかし今度はaws cli が動かなくなった。yumのパッケージが2.7向けで古いのが原因。

AWS-CLIを仮想環境に入れる

python3 -m venv ~/awscli-v2
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
./aws/install   --install-dir ~/awscli-v2/aws-cli   --bin-dir ~/awscli-v2/bin
source ~/awscli-v2/bin/activate

根本対応はpython3でpipで入れる

python3 -m venv ~/certbot-python3
cd certbot-python3/
source bin/activate
pip3 install certbot
pip3 install --upgrade pip
pip3 install awscli
certbot renew

証明書発行

初回はインタラクティブにメールアドレスの登録などがある。

certbot certonly --webroot -w /var/www/www.mywebsite.jp/ -d www.mywebsite.jp

バックアップ&リストア

ドメイン追加

The requested apache plugin does not appear to be installed

証明書インストール

Apache運用中のときに証明書発行するコマンド

一度にやろうとしたら失敗したので1ドメインごとに取得、最初だけメールアドレスやら規約同意やら。

certbot certonly --webroot -w DOCUMENT_ROOT -d YOUR_DOMAIN

1回目失敗。2回目成功なぜ?/etc/letsencrypt/live/[ドメイン名]/に証明書が作成される

Let's Encryptからアクセスされるので空のVirtualHost作ってからやるのが良い。

<VirtualHost *:80>
       DocumentRoot /var/www/html
       ServerName node.rutake.com
</VirtualHost>
certbot certonly --webroot -w /var/www/html/ -d node.rutake.com

作成された証明書

SSLCertificateFile/etc/letsencrypt/live/wiki.rutake.com
SSLCACertificateFile/etc/letsencrypt/live/wiki.rutake.com
SSLCertificateKeyFile/etc/letsencrypt/live/wiki.rutake.com/privkey.pem

ワイルドカード証明書

https://qiita.com/chamaharun/items/566c78bb8a13b4c2bc16

認証方式

HTTP-01

Let's encryptで取得したトークンを指定のディレクトリ以下に配置する。一番楽かな

http://example.com/.well-known/acme-challenge/(取得したトークン)

DNS方式

DNS-01 Challengeという方式。_acme-challenge.目的ドメインのTXTレコードにトークンを設定する。WEBサーバーが不要なので、ロードバランスしているとかHTTP-01がやりづらいときの選択肢

txtレコード追加

dig -t txt _acme-challenge.rutake.com

dig txt rutake.com

https://www.xmisao.com/2016/04/18/get-free-certification-by-letsencrypt-dns-01-authentication.html

ACMEv2方式

_acme-challenge.yourdomain.comのTXTレコードに認証情報を設定する。

https://qiita.com/binzume/items/698d12779b8ad5cda423 https://narusejun.com/archives/23/

value domain対応

txtレコードの動的編集ができないようなので、別のDNSに向ける

a tmpdns 別のDNSIP
ns _acme-challenge tmpdns.rutake.com.

cloudfrare

https://blog.cles.jp/item/10130


トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-11-23 (水) 18:42:12