https://wiki.archlinux.jp/api.php?action=feedcontributions&feedformat=atom&user=Goahi
ArchWiki - 利用者の投稿記録 [ja]
2026-04-14T15:32:51Z
利用者の投稿記録
MediaWiki 1.44.3
https://wiki.archlinux.jp/index.php?title=Certbot&diff=23497
Certbot
2022-01-25T03:38:39Z
<p>Goahi: /* Apache */ リンクが飛べない問題を修正</p>
<hr />
<div>[[Category:ネットワーク]]<br />
[[Category:暗号化]]<br />
[[Category:コマンド]]<br />
[[Category:Electronic Frontier Foundation]]<br />
[[en:Certbot]]<br />
[[ru:Certbot]]<br />
[https://github.com/certbot/certbot Certbot] は Python で書かれた [https://www.eff.org/ Electronic Frontier Foundation] の [[ACME]] クライアントで、Python で記述されており、ウェブサーバの自動設定や HTTP チャレンジのためのビルトイン Web サーバといった便利な機能を持ちます。 Certbot は [https://letsencrypt.org/ Let's Encrypt] に推奨されています。<br />
<br />
== インストール ==<br />
<br />
{{Pkg|certbot}} パッケージを[[インストール]]してください。<br />
<br />
発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:<br />
* [[Nginx]] 用のプラグインは {{Pkg|certbot-nginx}} パッケージに入っています。<br />
* [[Apache HTTP Server]] 用のプラグインは {{Pkg|certbot-apache}} パッケージで使えます。<br />
<br />
== 設定 ==<br />
<br />
証明を作成と使用方法についての詳細は [https://certbot.eff.org/docs/ Certbot のドキュメント] を参照してください。<br />
<br />
=== プラグイン ===<br />
{{Warning|プラグインを使用すると設定ファイルが上書きされ、Certbot 証明書の設定とパスが追加される場合があります。先に設定ファイルの'''バックアップ'''を作成することを推奨します。}}<br />
<br />
==== Nginx ====<br />
<br />
{{pkg|certbot-nginx}} プラグインは [[nginx]] の自動設定を提供します。このプラグインは、各ドメインの設定を検出しようとします。このプラグインは、セキュリティのために推奨される追加の設定および Certbot 証明書へのパスを追加します。例として、[[#サーバーブロックの管理]] を参照してください。<br />
<br />
[[nginx#サーバーブロック|サーバーブロック]]を初めて設定する場合:<br />
<br />
# certbot --nginx<br />
<br />
証明書を更新するには:<br />
<br />
# certbot renew<br />
<br />
nginx の設定ファイルに手を加えずに証明書を変更するには:<br />
<br />
# certbot --nginx certonly<br />
<br />
詳しい情報は [https://certbot.eff.org/#arch-nginx Nginx on Arch Linux] を見てください。インストールされた証明書の状態を有効に保つ方法は[[#自動更新]]を見てください。<br />
<br />
===== Nginx サーバーブロックの管理 =====<br />
サーバーブロックを手動で管理する場合、以下のように[[nginx#サーバーブロック|サーバーブロック]]で使うことができます:<br />
{{hc|/etc/nginx/sites-available/example|2=<br />
server {<br />
listen 443 ssl http2;<br />
listen [::]:443 ssl http2; # Listen on IPv6<br />
ssl_certificate /etc/letsencrypt/live/''domain''/fullchain.pem; # managed by Certbot<br />
ssl_certificate_key /etc/letsencrypt/live/''domain''/privkey.pem; # managed by Certbot<br />
include /etc/letsencrypt/options-ssl-nginx.conf;<br />
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;<br />
..<br />
} }}<br />
<br />
詳しくは [[nginx#TLS/SSL]] を見てください。<br />
<br />
別の設定ファイルを作成してサーバーブロックから include して使用することも可能です:<br />
<br />
{{hc|/etc/nginx/conf/001-cerbot.conf|2=<br />
ssl_certificate /etc/letsencrypt/live/''domain''/fullchain.pem; # managed by Certbot<br />
ssl_certificate_key /etc/letsencrypt/live/''domain''/privkey.pem; # managed by Certbot<br />
include /etc/letsencrypt/options-ssl-nginx.conf;<br />
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;<br />
}}<br />
<br />
{{hc|/etc/nginx/sites-available/example|<nowiki><br />
server {<br />
listen 443 ssl http2;<br />
listen [::]:443 ssl http2; # Listen on IPv6<br />
include conf/001-certbot.conf;<br />
..<br />
}<br />
</nowiki>}}<br />
<br />
==== Apache ====<br />
<br />
{{pkg|certbot-apache}} プラグインは、[[Apache HTTP Server]] の自動設定を提供します。このプラグインは、各ドメインの設定を検出しようとします。このプラグインは、セキュリティのために推奨される追加設定、証明書を使用するための設定、certbot 証明書へのパスを追加します。サンプルについては、[[#Apache バーチャルホストの管理]] を参照してください。<br />
<br />
[[Apache_HTTP_Server#バーチャルホスト|バーチャルホスト]] の初回セットアップ:<br />
<br />
# certbot --apache<br />
<br />
証明書の更新:<br />
<br />
# certbot renew<br />
<br />
Apache 設定ファイルを変更せずに証明書の変更:<br />
<br />
# certbot --apache certonly<br />
<br />
詳細は [https://certbot.eff.org/#arch-apache Certbot-Apache on Arch Linux] と [[#自動更新]] を参照してください。<br />
<br />
===== Apache バーチャルホストの管理 =====<br />
<br />
これらのファイルを手動で管理する場合は、以下の例をすべての [[Apache HTTP Server#バーチャルホスト|バーチャルホスト]] で使用することができます:<br />
<br />
{{hc|/etc/httpd/conf/extra/001-certbot.conf|2=<br />
<IfModule mod_ssl.c><br />
<VirtualHost *:443><br />
<br />
Include /etc/letsencrypt/options-ssl-apache.conf<br />
SSLCertificateFile /etc/letsencrypt/live/'domain'/fullchain.pem<br />
SSLCertificateKeyFile /etc/letsencrypt/live/'domain'/privkey.pem<br />
<br />
</VirtualHost><br />
</IfModule><br />
}}<br />
<br />
{{hc|/etc/httpd/conf/httpd.conf|<nowiki><br />
<IfModule mod_ssl.c><br />
Listen 443<br />
</IfModule><br />
<br />
Include conf/extra/001-certbot.conf<br />
..<br />
</nowiki>}}<br />
<br />
詳細については、[[Apache HTTP Server#TLS]] を参照してください。<br />
<br />
=== Webroot ===<br />
{{Note|<br />
* Webroot 方式では Certbot で認証するために'''ポート 80 で HTTP 接続'''できるようにする必要があります。<br />
* サーバーの名前は DNS と一致している必要があります。<br />
* {{ic|http://domain.tld/.well-known}} の読み取りを許可するためにホストのパーミッションを修正する必要がある場合があります。<br />
}}<br />
<br />
webroot 方式を使う場合、Certbot クライアントは {{ic|/path/to/domain.tld/html/.well-known/acme-challenge/}} の中でチャレンジ・レスポンス認証を行います。<br />
<br />
手動でインストールする場合と比べて、自動で証明書を更新したり楽に管理することができます。ただし、[[#プラグイン]]を使う時のように自動設定・自動インストールはできません。<br />
<br />
==== ACME チャレンジリクエストのマッピング ====<br />
<br />
{{ic|.well-known/acme-challenge}} に対する HTTP リクエストを全てひとつのディレクトリ (例: {{ic|/var/lib/letsencrypt}}) にマッピングすることで管理が簡単になります。<br />
<br />
Certbot やウェブサーバー (''http'' ユーザーで動作する [[nginx]] や [[Apache]] など) が書き込みできるパスを使用してください:<br />
# mkdir -p /var/lib/letsencrypt/.well-known<br />
# chgrp http /var/lib/letsencrypt<br />
# chmod g+s /var/lib/letsencrypt<br />
<br />
===== nginx =====<br />
<br />
location ブロックを記述したファイルを作成してサーバーブロックから読み込むようにしてください:<br />
{{hc|/etc/nginx/conf.d/letsencrypt.conf|<nowiki><br />
location ^~ /.well-known/acme-challenge/ {<br />
allow all;<br />
root /var/lib/letsencrypt/;<br />
default_type "text/plain";<br />
try_files $uri =404;<br />
}<br />
</nowiki>}}<br />
<br />
サーバー設定の例:<br />
{{hc|/etc/nginx/servers-available/domain.conf|<nowiki><br />
server {<br />
server_name domain.tld<br />
..<br />
include conf.d/letsencrypt.conf;<br />
}<br />
</nowiki>}}<br />
<br />
===== Apache =====<br />
{{ic|/etc/httpd/conf/extra/httpd-acme.conf}} ファイルを作成してください:<br />
{{hc|/etc/httpd/conf/extra/httpd-acme.conf|<nowiki><br />
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"<br />
<Directory "/var/lib/letsencrypt/"><br />
AllowOverride None<br />
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec<br />
Require method GET POST OPTIONS<br />
</Directory><br />
</nowiki>}}<br />
<br />
{{ic|/etc/httpd/conf/httpd.conf}} で上記ファイルを読み込んでください:<br />
{{hc|/etc/httpd/conf/httpd.conf|<nowiki><br />
Include conf/extra/httpd-acme.conf<br />
</nowiki>}}<br />
<br />
==== 証明書の取得 ====<br />
<br />
公開パスとして {{ic|/var/lib/letsencrypt/}} を使用して {{ic|domain.tld}} の証明書を取得するには:<br />
# certbot certonly --email '''email@example.com''' --webroot -w '''/var/lib/letsencrypt/''' -d '''domain.tld'''<br />
<br />
(サブ)ドメインを追加するときは、登録済みの全てのドメインを一緒に指定します:<br />
# certbot certonly --email '''email@example.com''' --webroot -w '''/var/lib/letsencrypt/''' -d '''domain.tld,sub.domain.tld'''<br />
<br />
登録している証明書を(全て)更新するには:<br />
# certbot renew<br />
<br />
{{Note|Do not forget to include the Let's Encrypt configuration file inside all related server blocks, those handling HTTP traffic as well as those handling HTTPS traffic, especially when using - as recommended - HSTS (HTPP Strict Transport Security). This can lead one to obtain certificate(s) smoothly, and once the setup is done, to be blocked for the renewal.}}<br />
<br />
証明書の更新方法については[[#自動更新]]も参照。<br />
<br />
=== 手動 ===<br />
<br />
ウェブサーバーのプラグインが存在しない場合、以下のコマンドを使ってください:<br />
# certbot certonly --manual<br />
<br />
DNS の TXT レコードを利用して認証したい場合、以下のコマンドを使ってください:<br />
# certbot certonly --manual --preferred-challenges dns<br />
<br />
上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/archive/''your.domain''/}} に保存され、{{ic|/etc/letsencrypt/live/''your.domain''/}} からリンクが張られます。<br />
<br />
証明書が取得できたら手動でウェブサーバーを設定して、シンボリックリンクが存在するディレクトリの秘密鍵・証明書・証明書チェーンを参照してください。<br />
<br />
{{Note|上のコマンドを複数回実行したり証明書を更新したりするとファイル名の末尾に数字が付加されたファイルが {{ic|/etc/letsencrypt/archive/''your.domain''/}} に作られます。Certbot は {{ic|/etc/letsencrypt/live/''your.domain''/}} のシンボリックリンクを自動的に最新のファイルに更新するため、証明書を更新するたびに手動でウェブサーバーの設定を更新する必要はありません。}}<br />
<br />
== 高度な設定 ==<br />
<br />
=== 自動更新 ===<br />
<br />
==== systemd ====<br />
{{ic|certbot.service}} ユニットを作成:<br />
<br />
{{hc|1=/etc/systemd/system/certbot.service|<br />
2=[Unit]<br />
Description=Let's Encrypt renewal<br />
<br />
[Service]<br />
Type=oneshot<br />
ExecStart=/usr/bin/certbot renew --quiet --agree-tos}}<br />
<br />
プラグインを使わずにウェブサーバーの設定を自動で管理する場合、ウェブサーバーを手動でリロードして証明書が更新されるたびにリロードが必要です。{{ic|ExecStart}} コマンドに {{ic|--post-hook "systemctl reload nginx.service"}} を追加することでリロードさせることができます [https://certbot.eff.org/docs/using.html#renewing-certificates]。適宜 {{ic|nginx.service}} のかわりに {{ic|httpd.service}} を使ってください。<br />
<br />
{{Note|[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。サービスは遅延があるため、[https://github.com/certbot/certbot/blob/master/certbot/CHANGELOG.md#0290---2018-12-05 v0.29.0] 以降、certbot を非対話的に呼び出す際に遅延が追加されているため、サービスが完了するまでに最大480秒かかることがありますので、ご注意ください。}}<br />
<br />
1 日 2 回のランダムな遅延時間を設定された証明書の更新をチェックするタイマーの追加により、全員の更新要求が分散され、Let's Encrypt サーバーの負荷が軽減されます。<br />
<br />
{{hc|1=/etc/systemd/system/certbot.timer|<br />
2=[Unit]<br />
Description=Daily renewal of Let's Encrypt's certificates<br />
<br />
[Timer]<br />
OnCalendar=0/12:00:00<br />
RandomizedDelaySec=1h<br />
Persistent=true<br />
<br />
[Install]<br />
WantedBy=timers.target}}<br />
<br />
{{ic|certbot.timer}} を[[起動]]・[[有効化]]してください。<br />
<br />
=== ワイルドカード証明書の自動更新 ===<br />
<br />
手順はかなり簡単です。ワイルドカード証明書を発行するには、[https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579 ACMEv2 protocol を使用]して、DNS チャレンジリクエストを経由しなければなりません。<br />
<br />
証明書を手動で発行するのは簡単ですが、自動化は簡単ではありません。DNS チャレンジは、certbot によって与えられた TXT レコードを表し、ドメインゾーンファイルに手動で設定する必要があります。<br />
<br />
更新のたびにゾーンファイルを更新する必要があります。これを手動で行わないようにするには、certbot のプラグインが含まれている certbot-dns-rfc2136 により、rfc2136を使用できます。また、TXT レコードの動的更新を許可するように DNS サーバーを設定する必要があります。<br />
<br />
==== rfc2136 用に BIND を設定 ====<br />
<br />
TSIG 秘密鍵を生成します:<br />
<br />
$ tsig-keygen -a HMAC-SHA512 '''example-key'''<br />
<br />
設定ファイルに追加します:<br />
<br />
{{hc|1=/etc/named.conf|<br />
2=...<br />
zone "'''domain.ltd'''" IN {<br />
...<br />
// this is for certbot<br />
update-policy {<br />
grant '''example-key''' name _acme-challenge.'''domain.ltd'''. txt;<br />
};<br />
...<br />
};<br />
<br />
key "'''example-key'''" {<br />
algorithm hmac-sha512;<br />
secret "'''a_secret_key'''";<br />
};<br />
...}}<br />
<br />
{{ic|named.service}} を [[systemd#ユニットを使う|再起動]] します。<br />
<br />
==== certbot rfc2136 のための設定 ====<br />
<br />
rfc2136 プラグインの設定ファイルを作成します。<br />
<br />
{{hc|1=/etc/letsencrypt/rfc2136.ini|<br />
2=dns_rfc2136_server = '''IP.ADD.RE.SS'''<br />
dns_rfc2136_name = '''example-key'''<br />
dns_rfc2136_secret = '''INSERT_KEY_WITHOUT_QUOTES'''<br />
dns_rfc2136_algorithm = HMAC-SHA512}}<br />
<br />
ファイルには秘密鍵のコピーが含まれているため、[[chmod]] で、グループやその他の権限を削除してファイルを保護します。<br />
<br />
以下のようにテストします:<br />
# certbot certonly --dns-rfc2136 --force-renewal --dns-rfc2136-credentials /etc/letsencrypt/rfc2136.ini --server https://acme-v02.api.letsencrypt.org/directory --email '''example@domain.ltd''' --agree-tos --no-eff-email -d ''''domain.ltd'''' -d ''''*.domain.ltd''''<br />
<br />
検証に合格して証明書を受け取った場合は、certbot の自動化を行っても問題ありません。そうでない場合は、問題が発生しているので、設定をデバッグする必要があります。基本的には、{{ic|certbot renew}} を実行することになります。[[#自動更新]] を参照してください。<br />
<br />
== 参照 ==<br />
<br />
* [[Transport Layer Security#ACME クライアント]]<br />
* [[Wikipedia:ja:Let's Encrypt|Wikipedia の記事]]<br />
* [https://certbot.eff.org/ EFF の Certbot ドキュメント]<br />
* [https://letsencrypt.org/docs/client-options/ ACME クライアントの一覧]<br />
<br />
{{TranslationStatus|Certbot|2021-10-20|694739}}</div>
Goahi