3月 21

SSL「Let’s Encrypt」を自動更新するためのメモ

ここはCnetOS6+Apache httpdでLet’s Encryptを自動更新するためのメモです。

カレントディレクトリを作業用など適当に変更して

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto

多分上のコマンドでいろいろ追加インストールしたり、バージョンが違うので揃えろとかいわれるので諸々対応を済ませ

certbot certonly --agree-tos --webroot -w /var/www/html/ -d example.com

上のようにサーバーの設定を入力すると

/etc/letsencrypt/live/example.com/

ここにpemが生成されるので

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/example.com/chain.pem

を設定してウェブサーバーを再起動
ちなみに、Apacheが2.4.8以上はfullchain.pemにしないといけないらしい。
そして、cronに次のコマンドを月イチ実行で登録する。

/usr/bin/certbot-auto renew --post-hook "service httpd reload"

問題ないかどうかはとりあえず実行すれば確認できる。
更新頻度が高いとまだしなくていいよって怒られるようです。

2月 08

webss.inのSSLを更新

webss.inはウェブサイトのスクリーンショットを作成できるサービスです。
少々調整が遅れてますので更新されていないサイトも有るようですが(汗)

SSLの更新時期が今月末に迫っていたので更新しました。
Let’s Encryptのため3ヶ月更新です。

9月 09

webss.inのSSLを更新

webss.inはWEBサイトのスクリーンショットを取得できる無料サービスです。
この手のサービスでは珍しくSSLに対応させています。
といっても、無料のLet’s Encryptなので、3ヶ月毎に更新の必要があります。
9月末で期限が来るので更に3ヶ月、12月まで延長させました。

8月 01

プリントライのSSLを更新

印刷通販サイト「プリントライ」のSSLを更新しました。
このタイミングでジオトラストから、セキュアコアに変更です。
年間費用として、ジオトラストは概ね1万超えの料金ですが、セキュアコアはほぼ半額。
もちろん、SSL導入の最低限のラインとしてサイトシールも使えます。

7月 03

WebSSを「Let’s Encrypt」でSSL化しました

WebサイトのSSを取得できるサービス、「WebSS」をSSL化しました。
これで、SSL接続のページに導入しても「安全な接続ではない」とブラウザに怒られることもなくなりました。

もともとはDTIのServersMax@VPSで仮想ホスト上で運用していたのですが、SSL化に伴い独立させました。
同じくServersMan@VPSを契約し、まるっと移動させました。

鯖の設定でちょっと手こずるも、いろいろと思い出しながら準備完了。
SSLは無料のSSL「Let’s Encrypt」を採用しました。
通常は鯖にパッケージを追加する必要があるのですが、いろいろと面倒そうなのと、あまりレビューがなく人柱になるつもりもありません。
そこで、一般的なSSL導入と同じ手続きができるSSLボックスで導入することにしました。

契約の手順はここでは省きますが、特に難なく導入は完了。
SSLをインストールしたことがあれば、ものの数分で完了するはずです。
ただ、この「Let’s Encrypt」は有効期限が90日、つまり3ヶ月毎に更新が必要です。
まぁ、発行された証明書を上書きしてhttpdを再起動するだけなのですが、無料とはいえちょっと面倒なのかもしれません。
鯖にパッケージを導入する方法なら更新自体も自動にできるっぽいですが。

ともかく、無事SSL化に成功しました。
他のサービスも順番にSSL化してもいいかもしれません。
ただ、マルチドメイン非対応なので、SSLの数だけ鯖を用意しないといけないのが難点です。
専用鯖を用意してVPSを動かせるように勉強してみました。

でめたし、でめたし。