「Certbot」の版間の差分

2017年11月2日 (木) 00:08時点における版

Let’s Encrypt はフリーかつ自動化されたオープンな認証局です。ACME プロトコルを利用しています。

公式クライアントは Certbot という名前で、コマンドラインから有効な X.509 証明書を取得できます。また、手動で CSR 作成を行うミニマルなクライアントを acme-tiny^AUR でインストールすることができます。スクリプトで使用するのに適したクライアントとして simp_le-git^AUR や letsencrypt-cli^AUR も存在します。

インストール

certbot パッケージをインストールしてください。

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:

Nginx 用の実験的なプラグインは certbot-nginx パッケージに入っています。
Apache HTTP Server 利用時の自動インストールは certbot-apache パッケージで使えます。

設定

証明を作成・インストールする方法は Certbot のドキュメントを参照してください。

Webroot

ノート:

Webroot 方式では Certbot で認証するのにポート 80 で HTTP 接続する必要があります。
- ポート 443 で HTTPS 接続を使って Certbot で認証するには、Webroot (--webroot) 方式の代わりに Nginx (--nginx) または Apache (--apache) プラグインを使用する必要があります。
サーバー名は DNS 名と一致していなければなりません。
ホスト上のパーミッションを修正して http://domain.tld/.well-known への読み取り許可を与える必要があります。

Webroot 方式では、Certbot クライアントによって /path/to/domain.tld/html/.well-known/acme-challenge/ でチャレンジ/レスポンス認証が行われます。

この使用方法は手動インストールよりも推奨されます。自動的に更新が行なわれ、証明書管理が容易になります。

ヒント: 始めて証明書を取得するときは以下の nginx サーバー設定が役に立つでしょう:

/etc/nginx/servers-available/domain.tld

server {
  listen 80;
  listen [::]:80;
  server_name domain.tld;
  root /usr/share/nginx/html;
  location / {
    index index.htm index.html;
  }

  # ACME challenge
  location ^~ /.well-known/acme-challenge/ {
    default_type "text/plain";
    root /var/lib/letsencrypt;
  }
}

証明書の取得

公開パスとして /var/lib/letsencrypt/ を使って domain.tld の証明書を取得するには:

# certbot certonly --email email@example.com --webroot -w /var/lib/letsencrypt/ -d domain.tld

（サブ）ドメインを追加する場合、登録済みの全てのドメインを一緒に指定します:

# certbot certonly --email email@example.com --webroot -w /var/lib/letsencrypt/ -d domain.tld,sub.domain.tld

登録している証明書を（全て）更新するには:

# certbot renew

証明書の更新方法については#自動更新も参照。

手動

ノート:

この方法では、一時的にウェブサーバーを停止する必要があります。#Webroot の方法ではウェブサーバーを実行しながらでも認証が行えます。
この方法では、自動的に証明書を更新することはできません。自動更新を行いたい場合には、#Webroot メソッドを使用してください。

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:

# certbot certonly --manual

DNS の TXT レコードを利用した認証を行う場合、次のコマンドを使って下さい:

# certbot certonly --manual --preferred-challenges dns

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は /etc/letsencrypt/live/your.domain/ に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

ノート: コマンドを複数回実行すると /etc/letsencrypt/live/your.domain/ に作られるファイルの名前には末尾に数字が付加されます。作成されたファイル名かウェブサーバーの設定を書き換える必要があります。

高度な設定

ウェブサーバーの設定

プラグインを使用して自動で設定するのではなく、サーバーの SSL を手動で有効にすることが推奨される場合があります。

ヒント:

Mozilla には有用な SSL/TLS についての記事があり、セキュアな設定を作成するための自動ツールもあります。
Cipherli.st には最新のウェブサーバーのため強固な SSL の設定例とチュートリアルが載っています。

nginx

Let's Encrypt の署名済み SSL 証明書を使用するサーバー domain.tld の例:

/etc/nginx/servers-available/domain.tld

# redirect to https
server {
  listen 80;
  listen [::]:80;
  server_name domain.tld;
  return 301 https://$host$request_uri;
}

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;
  ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
  ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;
  ssl_session_timeout 1d;
  ssl_session_cache shared:SSL:50m;
  ssl_session_tickets off;
  ssl_prefer_server_ciphers on;
  add_header Strict-Transport-Security max-age=15768000;
  ssl_stapling on;
  ssl_stapling_verify on;
  server_name domain.tld;
  ..
}

# A subdomain uses the same SSL-certifcate:
server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;
  ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
  ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;
  ..
  server_name sub.domain.tld;
  ..
}

# ACME challenge
location ^~ /.well-known {
  allow all;
  alias /var/lib/letsencrypt/.well-known/;
  default_type "text/plain";
  try_files $uri =404;
}

マルチドメイン

/.well-known/acme-challenge/ への HTTP リクエストを全て一つのフォルダ (例: /var/lib/letsencrypt) にまとめることで、マルチドメインの管理がとても楽になります。

Let's Encrypt クライアントのパスから設定したパスに書き込めるように、また、ウェブサーバーから読み込めるようにする必要があります (nginx や Apache の場合 http ユーザー):

# mkdir -p /var/lib/letsencrypt/.well-known
# chgrp http /var/lib/letsencrypt
# chmod g+s /var/lib/letsencrypt

nginx

まず location ブロックを記述したファイルを作成します:

/etc/nginx/conf.d/letsencrypt.conf

location ^~ /.well-known {
  allow all;
  alias /var/lib/letsencrypt/.well-known/;
  default_type "text/plain";
  try_files $uri =404;
}

そして server ブロックの中で作成したファイルを指定します:

/etc/nginx/servers-available/domain.conf

server {
  server_name domain.tld
   ..
  include conf.d/letsencrypt.conf;
}

Apache

/etc/httpd/conf/extra/httpd-acme.conf ファイルを作成してください:

/etc/httpd/conf/extra/httpd-acme.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

そして、httpd.conf で上記ファイルをインクルードします:

/etc/httpd/conf/httpd.conf

Include conf/extra/httpd-acme.conf

自動更新

systemd

certbot.service ユニットを作成:

/etc/systemd/system/certbot.service

[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos

証明書を更新するたびにウェブサーバーを再起動させると良いでしょう。certbot.service ファイルに以下のどちらかの行を追加してください:

Apache: ExecStartPost=/bin/systemctl reload httpd.service
nginx: ExecStartPost=/bin/systemctl reload nginx.service

ノート: タイマーを追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで証明書を更新できます (更新の必要がない証明書は自動的にスキップされます)。

/etc/systemd/system/certbot.timer

[Unit]
Description=Daily renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=0/12:00:00
RandomizedDelaySec=1h
Persistent=true

[Install]
WantedBy=timers.target

certbot.timer を起動・有効化してください。

Standalone を使う場合のサービス

Standalone モードを使用する場合は更新リクエストを実行する前にウェブサーバーを停止させて、更新が完了してからウェブサーバーを再起動するようにします。systemd の ExecStartPre と ExecStartPost を使います。

nginx

/etc/systemd/system/certbot.service

[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos
ExecStartPre=/bin/systemctl stop nginx.service
ExecStartPost=/bin/systemctl start nginx.service

Apache

/etc/systemd/system/certbot.service

[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos
ExecStartPre=/bin/systemctl stop httpd.service
ExecStartPost=/bin/systemctl start httpd.service

参照

@@ 1行目: / 1行目: @@
 [[Category:ネットワーク]]
-[[Category:セキュリティ]]
+[[Category:暗号化]]
 [[en:Let’s Encrypt]]
 [[ru:Let’s Encrypt]]
@@ 231行目: / 231行目: @@
 ==== Standalone を使う場合のサービス ====
-Standalone モードを使用する場合は更新リクエストを実行する前にウェブサーバーを停止させて、更新が完了してからウェブサーバーを再起動するようにします。Certbot のフックを使ってください。
+Standalone モードを使用する場合は更新リクエストを実行する前にウェブサーバーを停止させて、更新が完了してからウェブサーバーを再起動するようにします。systemd の ''ExecStartPre'' と ''ExecStartPost'' を使います。
 ===== nginx =====
@@ 241行目: / 241行目: @@
 [Service]
 Type=oneshot
-ExecStart=/usr/bin/certbot renew --post-hook "/usr/bin/systemctl restart nginx.service" --agree-tos}}
+ExecStart=/usr/bin/certbot renew --quiet --agree-tos
+ExecStartPre=/bin/systemctl stop nginx.service
+ExecStartPost=/bin/systemctl start nginx.service
+}}
 ===== Apache =====
@@ 251行目: / 254行目: @@
 [Service]
 Type=oneshot
-ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop httpd.service" --post-hook "/usr/bin/systemctl start httpd.service" --quiet --agree-tos}}
+ExecStart=/usr/bin/certbot renew --quiet --agree-tos
+ExecStartPre=/bin/systemctl stop httpd.service
+ExecStartPost=/bin/systemctl start httpd.service
+}}
 == 参照 ==

「Certbot」の版間の差分

2017年11月2日 (木) 00:08時点における版

目次

インストール

設定

Webroot

証明書の取得

手動

高度な設定

ウェブサーバーの設定

nginx

マルチドメイン

nginx

Apache

自動更新

systemd

Standalone を使う場合のサービス

nginx

Apache

参照

案内メニュー

個人用ツール

名前空間

変種

表示

その他

検索

案内

交流

ツール

他言語版