Date: 2016/6/17 Cate: CentOS Tags: ,  

話題のLet’s Encrypt使ってみたのでメモ。
なんか2016年5月からcertbotっていうのに名前変わったっぽい?
参考:
光の速さのWEBサーバー(nginx)をlet’s encryptでSSL化及びHTTP/2化。ついでにセキュリティ評価をA+にする。
certbot/certbot
Certbot User Guide
SSL証明書の有効期限を確認するスクリプト

やったこと

hoge.example.com的なドメインをSSL対応させた

手順

Githubのcertbotからプロジェクトをclone。
そんでcertbot-autoでwebroot方式で認証させました。

$ git clone https://github.com/certbot/certbot
$ cd certbot
$ ./certbot-auto certonly --webroot

そしたら色々聞かれるので、順番に答えて行けばOKでした。

webroot?

certbotの認証方法がいくつかあるみたいなんですが、そのうちの1つ。
たとえばhoge.example.comをSSL化しよう、という場合に、certbot-autoコマンドを実行するとhttp://hoge.example.com/.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SXみたいな形でリクエストが来ることでサーバーを認証するかんじっぽいです。
なので、↑の./certbot-auto certonly --webrootコマンドを実行した際にwebrootのパスを聞かれるのですが、たとえば/var/www/を設定したら/var/www/.well-knownっていうディレクトリが作成されるので、それをnginxとかで受けれる形にしておく必要があります。

自動更新

参考にあげた
光の速さのWEBサーバー(nginx)をlet’s encryptでSSL化及びHTTP/2化。ついでにセキュリティ評価をA+にする。
こちらを参考にしてcronで毎月1日に自動更新をするようにしました。

SSL証明書の有効期限チェック

SSL証明書の有効期限を確認するスクリプトを参考にして、こちらもcronで定期的に有効期限を確認し、もし30日以内に有効期限が切れる場合はSlackに通知が行くようにしました。

Leave a Reply