Let’s Encryptの使い方。standaloneとwebroot
Let's encrypt(Let's Encrypt 認証局)とは
まずはここから簡単に解説を。「無料のSSL」です。通常、年間3万円程度費用がかかるイメージでしたが、そのために普及が遅れてしまっては、インターネットの発展がなかなか進まない、ということもあってインターネット界隈の主要な会社たちが集まって、無料の認証局を作ろうということになりました。
以下、日本語訳抜粋。
Let's Encrypt を運営している Internet Security Research Group (略称:ISRG) は、アメリカ合衆国カリフォルニア州にある公益法人で、アメリカ合衆国内国歳入法 Section 501(c)(3) による非課税法人として、アメリカ合衆国内国歳入庁 (IRS) による承認を受けています。
インターネットを介した安全な通信を行う際の、経済面・技術面・教育面での障壁を減らすことが、ISRG の使命です。
※ココ最近、2018年3月時点で、ワイルドカード証明書が使えるようになりました。1つの証明書で複数のサブドメインを運用可能ということです。この設定方法については、また改めて書きます。
簡単な使い方については、Let's Encrypt 総合ポータルにあります。
けっこうドキュメント量が多いので、まず設定する前に、大事なポイントがあります。
そこで一番重要になるのは、証明書取得時、および更新時にサーバーを停止する必要があるかどうか、という点です。それが、standaloneだったりwebrootとなります。
standaloneとwebrootとは
Let's Encryptでの証明書はstandaloneとwebrootがあります。
standalone
standaloneって何なん?ってことで、
【Let's Encrypt 総合ポータル-ユーザーガイド-Standalone プラグイン】
ここに書いてあります。
これは、Let's Encryptのコマンドであるcertbot-autoがwebserverとしての機能も持っているため、それを使って設定するってことです。standaloneという名前の通り、webserverがなくても証明書の取得設定ができるよ、というものです。
standaloneの場合、このcertbot-autoが持っているweb serverを利用する、つまり、
設定するのに80(HTTP)と443(HTTPS)のポートを使用するので、すでにapacheやnginxでWebサーバが動いていると動きません。←ここ重要
ということは現在稼働しているウェブサービスを一度停止させる必要があり、停止させるということは、運用上の問題が出る場合があります。
そこでwebrootモードを使うのです。
稼働中のサービスを落とさずにSSL証明書の発行および更新ができるのです。
webroot
コマンドは、certbot-auto
です。古いドキュメントでは、letyencryptだったりcertbotだったりしますが、最新は、certbot-autoだと思ってくださればOKです。
私の場合は、certbot-autoを実行可能な、/usr/local/sbinに配置してどでも実行できるようにしました。
おっと、その前に、準備が必要です。
今回SSLを設定する必要のある、ドメイン名で(今回はnginx)にhttpでアクセスできる状態としておくことです。
DNSの設定と、nginx(apache)の設定が終わっていることが条件です。
コマンド実行の初回のみいろいろきいてくるのですが、コマンドは、新しいものを登録するときも一つだけ。以下。
rootで実行。
certbot-auto certonly --webroot -w /var/www/sample/public -d xxxx.sample.com
-w は、webrootのディレクトリを指定。この中にファイルを書き込みます。そのファイルをhttp(80)でアクセスするのでアクセスできる状態としておくこと。
-dは、ドメイン名。複数指定可能。複数指定するときは、-d xxx.sample.com -d xxx2.sample.comと書いていく。
実行するとメッセージがでてきて、FaildやErrorの文字がなくSuccessという文字が見えたら成功です。
以下の2つのファイルができているので、nginxやapacheの設定ファイルで読み込むように設定して、webserverをリスタートすればOKです。
/etc/letsencrypt/live/xxxx.ample.com/fullchain.pem
/etc/letsencrypt/live/xx2.ample.com/privkey.pem
Author And Source
この問題について(Let’s Encryptの使い方。standaloneとwebroot), 我々は、より多くの情報をここで見つけました https://qiita.com/f_uto/items/4178a9fdd657b78672ea著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .