Let's Encryptとは
Let's Encryptとは、無償で利用できるSSL証明書で、
ISRG (Internet Security Research Group)という非営利団体が提供しています。
GoogleもSSLの常時通信を推奨しており、
僅かですがSEO上有利になると言っています。
これから、Let's Encryptの重要性が増してくると思います。
そこで、
今更ながらLet's Encryptをインストールしてみました。
サーバは「CentOS7」を使用しています。
インストール前の事前準備
まず、必要な依存パッケージをインストールします。
「mod_ssl」のインストール
「mod_ssl」がサーバに入っていない場合には、
# yum -y install mod_ssl
でインストールを行っておく必要があります。
Gitをインストール
Gitからソースをクローンするので、
# yum -y install git
でGitをインストールしておきます。
これで事前準備は完了したので、
ここからがインストールの開始です。
証明書のインストール
Gitからリポジトリをクローン
■GitからLet's Encryptのソースをクローン
# git clone https://github.com/letsencrypt/letsencrypt
証明書の発行
# cd letsencrypt
# ./letsencrypt-auto certonly --webroot -w /var/www/html -d sample.com -d www.sample.com
※「-w」の後ろにはサイトの公開ディレクトリを指定するので、実際のサーバ環境に合わせて変更してください。
※「-d」の後ろにはドメイン名を指定してください。
※今回は「www」あり・なしの両方でアクセスできるようにしたいので、「sample.com」と「www.sample.com」を指定しています。
ここまで完了すると、以下のようなメッセージが表示されます。
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/www.sample.com/fullchain.pem. Your cert
will expire on 2016-07-29. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- If you like Let's Encrypt, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
【注意点】「will expire on 2016-07-29.・・・」という記述があります。これは有効期間なので注意しておく必要があります。
※SSLの有効期限は90日間と短めのようです。
これでインストールは完了です!!
Apacheから証明書を参照できるように設定
証明書の発行が完了したら、
Apacheから証明書を参照できるように読み込みの設定します。
上記のメッセージの中に
/etc/letsencrypt/live/www.sample.com/
というパスが記述されています。
# ll /etc/letsencrypt/live/www.sample.com/
で確認すると、
以下の3ファイルが作成されていると思います。
cert.pem
chain.pem
privkey.pem
それぞれ「サーバ証明書」、「中間証明書」、「秘密鍵」になります。
# vi /etc/httpd/conf/httpd.conf
として、
Apacheの設定ファイルに以下の記述を追記します。
<VirtualHost 162.133.263.158:443>
ServerName sample.com
ServerAlias www.sample.com
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.sample.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.sample.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/www.sample.com/chain.pem
</VirtualHost>
ここで、Apacheを再起動します。
# service httpd restart
ブラウザからの確認
実際に「https://sample.com」にアクセスしてみて、
正常に画面が表示されるかを確認して下さい。
問題なく表示されていれば、
これでインストールが完了です。
Ubuntu UbuntuへLet’s Encryptをインストール(Certbot編)
Ubuntu UbuntuへLet’s Encryptをインストール
