kame's blog
Life is what you make it.
POSTS
SEARCH
PHOTOS
ABOUT
CONTACT

無料SSL証明書 Let’s Encrypt の適用

/ takeshi kameyama

GoogleChromが2018年7月リリースの『Chrom 69』より、HTTPSを標準、HTTPには警告を出すとの事で、このサイトのHTTPS対応を無料でSSL証明書が取得できる『Let’s Encrypt』を使って対応した

Let’s Encryptとは?

アメリカ合衆国により非課税法人として承認されている非営利団体『Internet Security Research Group (ISRG)』によって運営されている無償CA局との事。スポンサーも名だたる企業が並んでる。仕組もなかなか面白く、証明書発行に関係する一連の流れを自動化する為に、ISRGによって作成されているプロトコル『ACME』が使われていて、最終的には証明書管理が完全に自動化、かつ透過的になるのであろうと感じさせられる

対応手順

全体の流れはこんな感じ

  1. 申請される情報の有効性の確認(Domain Validation)
  2. 証明書の発行
  3. WebServerの設定変更(Apache等)
  4. その他の設定変更(Wordpress等)

ACMEはこの全ての流れを自動化する狙いの模様

実際、今回はACMEクライアントとなるCertbotを利用したら1−3はとても簡単

Certbotのホームページで表示されるドキュメントに沿ってインストールと実行を行うだけ

tkame123_post_001

ただし、ひとつ注意があって、Certbot本体は「none of the above」を選択する必要がある。(例:Apache/Ubuntuであれば、「none of the above/Ubunth」と「Apache/Ubunth」を参考にする)

今回は ‘sudo certbot –apache‘ を実行したんだけど、その時に入力を求められたのは以下の3つだけ

——————————————————————————-Please read the Terms of Service athttps://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You mustagree in order to register with the ACME server athttps://acme-v01.api.letsencrypt.org/directory——————————————————————————-(A)gree/(C)ancel: A

——————————————————————————-Would you be willing to share your email address with the Electronic FrontierFoundation, a founding partner of the Let’s Encrypt project and the non-profitorganization that develops Certbot? We’d like to send you email about our workencrypting the web, EFF news, campaigns, and ways to support digital freedom.——————————————————————————-(Y)es/(N)o: Y

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.——————————————————————————-1: No redirect – Make no further changes to the webserver configuration.2: Redirect – Make all requests redirect to secure HTTPS access. Choose this fornew sites, or if you’re confident your site works on HTTPS. You can undo thischange by editing your web server’s configuration.——————————————————————————-Select the appropriate number [1-2] then [enter] (press ‘c’ to cancel): 2

ACMEクライアントの安定性が増せば、WebのHTTPS化には本当に透過的になりますね


今後の対応

Let’s Encrypt 側の仕様で90日で証明書の有効期限が切れるとの事で、自動更新の仕組も提供されているとの事なのでそれもやってみる予定

その他

WRITTEN BY

takeshi kameyama

関連記事

コメント

Login