「Certbot」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(ページの作成:「Category:ネットワーク Category:セキュリティ en:Let’s Encrypt [https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオ...」)
 
6行目: 6行目:
 
== インストール ==
 
== インストール ==
   
  +
{{Pkg|letsencrypt}} パッケージを[[インストール]]してください。
{{Pkg|letsencrypt}} パッケージを[[インストール]]してください。[[Nginx]] を使っている場合の実験的なインストールは {{Pkg|letsencrypt-nginx}} パッケージで行われます。{{Pkg|letsencrypt-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。
 
  +
で行われます。
  +
発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
  +
* [[Nginx]] 用の実験的なプラグインは {{Pkg|letsencrypt-nginx}} パッケージに入っています。
  +
* {{Pkg|letsencrypt-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。
   
 
== 設定 ==
 
== 設定 ==
   
 
証明を作成・インストールする方法は [https://letsencrypt.readthedocs.org/en/latest/ Let’s Encrypt クライアントのドキュメント] を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。
 
証明を作成・インストールする方法は [https://letsencrypt.readthedocs.org/en/latest/ Let’s Encrypt クライアントのドキュメント] を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。
  +
  +
=== 手動 ===
  +
  +
{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}
  +
  +
ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
  +
# letsencrypt certonly --manual
  +
  +
上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。
  +
  +
上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。
  +
  +
=== Webroot ===
  +
  +
webroot を使うことでウェブサーバー (例: Apache/nginx) を止めることなく証明書を取得・更新できます。
  +
  +
{{hc|1=/etc/systemd/system/letsencrypt.service|
  +
2=[Unit]
  +
Description=Letsencrypt manual renewal
  +
  +
[Service]
  +
Type=oneshot
  +
ExecStart=/usr/bin/letsencrypt certonly --agree-tos --renew-by-default --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''}}
  +
  +
サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。
  +
  +
タイマーを追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。
  +
  +
それかた、タイマーを追加することで毎月証明書を更新できます。
  +
  +
{{hc|1=/etc/systemd/system/letsencrypt.timer|
  +
2=[Unit]
  +
Description=Monthly renewal on letsencrypt's certificates
  +
  +
[Timer]
  +
OnCalendar=monthly
  +
Persistent=true
  +
  +
[Install]
  +
WantedBy=timers.target}}

2015年12月9日 (水) 11:58時点における版

Let’s Encrypt はフリーかつ自動化されたオープンな認証局です。コマンドラインから有効な ssl 証明書を取得できるツールが提供されています。

インストール

letsencrypt パッケージをインストールしてください。 で行われます。 発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:

  • Nginx 用の実験的なプラグインは letsencrypt-nginx パッケージに入っています。
  • letsencrypt-apache パッケージも存在していますが、Apache HTTP Server を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

設定

証明を作成・インストールする方法は Let’s Encrypt クライアントのドキュメント を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。

手動

ノート: この方法では、一時的にウェブサーバーを停止する必要があります。#Webroot の方法ではウェブサーバーを実行しながらでも認証が行えます。

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:

# letsencrypt certonly --manual

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は /etc/letsencrypt/live/your.domain/ に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

Webroot

webroot を使うことでウェブサーバー (例: Apache/nginx) を止めることなく証明書を取得・更新できます。

/etc/systemd/system/letsencrypt.service
[Unit]
Description=Letsencrypt manual renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/letsencrypt certonly --agree-tos --renew-by-default --email email@example.com --webroot -w /path/to/html/ -d your.domain

サーバーの設定で /etc/letsencrypt/live/your.domain/ の証明書を使うようにしてください。

タイマーを追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それかた、タイマーを追加することで毎月証明書を更新できます。

/etc/systemd/system/letsencrypt.timer
[Unit]
Description=Monthly renewal on letsencrypt's certificates

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target