Let's encrypt の履歴(No.16)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Let's encrypt へ行く。
  • 1 (2018-09-12 (水) 23:24:09)
  • 2 (2018-09-13 (木) 00:57:13)
  • 3 (2018-09-13 (木) 10:27:48)
  • 4 (2018-09-13 (木) 11:30:13)
  • 5 (2018-09-13 (木) 21:00:19)
  • 6 (2018-09-14 (金) 19:42:27)
  • 7 (2018-10-25 (木) 07:52:41)
  • 8 (2018-10-26 (金) 15:33:21)
  • 9 (2018-10-27 (土) 18:36:23)
  • 10 (2019-08-12 (月) 15:33:57)
  • 11 (2020-05-05 (火) 15:23:17)
  • 12 (2020-05-26 (火) 21:57:00)
  • 13 (2020-05-27 (水) 08:08:28)
  • 14 (2020-05-27 (水) 20:59:06)
  • 15 (2020-05-28 (木) 04:57:56)
  • 16 (2020-05-28 (木) 16:49:40)
  • 17 (2022-10-14 (金) 13:16:52)
  • 18 (2022-11-23 (水) 13:34:26)

---

• 無償のSSL証明書。自動で更新できるツール付きで驚くほど簡単に導入可能
• ACME(Automatic Certificate Management Environment)というRFCプロトコルに準拠したcertbotが使えるようになったのでほぼ自動化可能
• まずは個別証明書で2020/07の更新を乗り切る。

参考情報†

https://qiita.com/Esfahan/items/9f11b38668239d1b52c5

クライアントツール certbot†

https://qiita.com/ariaki/items/5680cb6da6223844af4e

EPELパッケージがあれば一発でインストール可能

yum install python2-certbot-apache.noarch

「sudo yum reinstall python-urllib3 sudo yum reinstall python-requests」のエラーが出たのでurllib3とrequestを入れ直した。

sudo pip uninstall requests
sudo pip uninstall urllib3
sudo yum remove python-urllib3
sudo yum remove python-requests

しかし今度はaws cli が動かなくなった。yumのパッケージが2.7向けで古いのが原因。

AWS-CLIを仮想環境に入れる†

python3 -m venv ~/awscli-v2
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
./aws/install   --install-dir ~/awscli-v2/aws-cli   --bin-dir ~/awscli-v2/bin
source ~/awscli-v2/bin/activate

根本対応はpython3でpipで入れる†

python3 -m venv ~/certbot-python3
cd certbot-python3/
source bin/activate
pip3 install certbot
pip3 install --upgrade pip
pip3 install awscli
certbot renew

証明書インストール†

Apache運用中のときに証明書発行するコマンド†

一度にやろうとしたら失敗したので1ドメインごとに取得、最初だけメールアドレスやら規約同意やら

certbot certonly --webroot -w DOCUMENT_ROOT -d YOUR_DOMAIN

１回目失敗。２回目成功なぜ？/etc/letsencrypt/live/[ドメイン名]/に証明書が作成される

作成された証明書†

ワイルドカード証明書†

https://qiita.com/chamaharun/items/566c78bb8a13b4c2bc16

認証方式†

• HTTP/HTTPS(.well-known/の下に認証ファイルを配置する。RapidSSLと同じ方式)
• DNS方式(アクセス権限をかけているWebサーバーに対して有効)

HTTP-01†

Let's encryptで取得したトークンを指定のディレクトリ以下に配置する。一番楽かな

http://example.com/.well-known/acme-challenge/(取得したトークン)

DNS方式†

DNS-01 Challengeという方式。_acme-challenge.目的ドメインのTXTレコードにトークンを設定する。WEBサーバーが不要なので、ロードバランスしているとかHTTP-01がやりづらいときの選択肢

txtレコード追加†

dig -t txt _acme-challenge.rutake.com

dig txt rutake.com

https://www.xmisao.com/2016/04/18/get-free-certification-by-letsencrypt-dns-01-authentication.html

ACMEv2方式†

_acme-challenge.yourdomain.comのTXTレコードに認証情報を設定する。

https://qiita.com/binzume/items/698d12779b8ad5cda423 https://narusejun.com/archives/23/

value domain対応†

txtレコードの動的編集ができないようなので、別のDNSに向ける

a tmpdns 別のDNSIP
ns _acme-challenge tmpdns.rutake.com.

cloudfrare†

https://blog.cles.jp/item/10130