Let's EncryptのSSLサーバー証明書を、使用するサーバーとは別のマシンで作成する
提供:maruko2 Note.
Let's EncryptのSSLサーバー証明書を、使用するサーバーとは別のマシンで作成する
| SSLサーバー証明書を使用するOS | CentOS release 4.8 (Final) |
|---|---|
| Let's Encrypt を実行するマシン | CentOS Linux release 7.0.1406 (Core) |
目次 |
Let's Encrypt クライアントをダウンロードする
git clone https://github.com/letsencrypt/letsencrypt
Let's Encrypt クライアントの実行環境を自動作成する
cd letsencrypt ./letsencrypt-auto --help
実行に必要なパッケージが自動インストールされる。
Installing Python packages... の処理に時間がかかる。
letsencrypt-auto コマンドの使用方法が表示されれば、実行環境ができたことになる。
SSLサーバー証明書を作成する
./letsencrypt-auto certonly --manual
TUI(テキスト・ユーザー・インターフェイス)が起動する。
- メールアドレスを入力し、tab キーを押し < OK > に移動して Enter を押す。
- <Agree > で Enter を押す。
- SSLサーバー証明を利用するドメインを入力する。
- < YES > で Enter を押す。
- SSLサーバー証明書を使用するドメインの HTTP サーバーに、確認用のファイルを作成する。
- ファイルを作成完了後、ENTER を押す。
- ドメインの確認が完了すると、次のような表示になる。
利用規約に同意するかどうか。
ENTER を押すと、Let's Encrypt validation server からアクセスがある。
 |
ファイル作成前に ENTER を押してしまうと、確認に失敗し、1からやり直しになる。 |
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/ドメイン名/fullchain.pem. Your cert will expire on 2016-07-17. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - If you like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
SSLサーバー証明書をapache にコピーして mod_ssl を設定する
SSLサーバー証明書は、Let's Encrypt クライアントを実行したマシンの /etc/letsencrypt/archive/ドメイン名 内にできている。
各ファイルを apache サーバーにコピーして次のように設定する。
SSLCertificateFile /path/to/cert1.pem SSLCertificateKeyFile /path/to/privkey1.pem SSLCertificateChainFile /path/to/chain1.pem
apache 2.4.8 以降では次のようになる。
SSLCertificateFile /path/to/fullchain1.pem SSLCertificateKeyFile /path/to/privkey1.pem
更新する方法
この方法はSSLサーバー証明書を別のマシンで作成するので、自動更新することができない。
証明書を更新する場合は、作成するときと同じ作業をする。
参考ページ
- Let's Encrypt の使い方 (Let's Encrypt 総合ポータル)
- Let's Encrypt ユーザーガイド (Let's Encrypt 総合ポータル)
- Let’s Encryptを他のサーバでやってみる (www.neko6.info)
- CentOS5などの古い環境でLet’s Encryptを使う (blog.osakana.net)
