CentOSでletsencryptで無料SSL認証書を取得する方法

[肥満度チェック] 実は肥満じゃない？

事前準備

2018年1月以降letsencryptの設置時、Certbotがエラーで作動使えない場合の解決方法は➔ こちらで確認して下さい。

ファイアウォールでポート番号を確認

SSL認証書が使用するポート番号がファイアウォールにより遮断されていると正常に作動しないので「/etc/sysconfig/iptable」ファイルを開けて次の内容を追加します。

1. -A INPUT -p tcp --dport 8000 -j ACCEPT
2. -A INPUT -p tcp --dport 8443 -j ACCEPT

必要なモジュールの確認

「/etc/httpd/conf.modules.d/00-base.conf」の設定ファイルで次のモジュールがコメントアウトされていて無効になっている場合、「#」記号を削除して下さい。

certbotのインストールに必要なモジュール
1. LoadModule log_config_module modules/mod_log_config.so
2. LoadModule setenvif_module modules/mod_setenvif.so
3. LoadModule socache_shmcb_module modules/mod_socache_shmcb.so

EPELのリポジトリのインストール

次のようにコマンドを実行して、EPELのリポジトリのインストールを行います。

1. #yum install epel-release

LoadModule log_config_module modules/mod_log_config.so LoadModule setenvif_module modules/mod_setenvif.so LoadModule socache_shmcb_module modules/mod_socache_shmcb.so //유사한 이름이 있으므로 잘 확인해주기

certbotのインストール

問題発生時
1. 設置過程で「〇〇〇〇〇〇　: ●●●●●● not supported (known names: ). Maybe you need to load the appropriate ☆☆☆☆☆☆ (モジュール名).」のようなエラーが発生した場合は最後に書かれているモジュールがちゃんとインストールされているのか、またはコメントアウトされていないかを確認して解決できます。

letsencryptの設置と管理を自動かしてくれるクライアントソフトウェア「Certbot」の設置のため次のようにコマンドを実行します。複雑で難しかった従来のSSL/TLSサーバ証明書の取得・更新などがcertbotによりとても簡単になりました。

1. #yum install python-certbot-apache

これでSSL/TLSサーバ証明書の取得のための準備は終わりです。

ドメイン別のSSL/TLSサーバ証明書を取得

SSL/TLSサーバ証明書を取得するドメイン名を入力

1. #certbot --apache -d SSL/TLSサーバ証明書を取得するドメイン名

例えば「abc.com」ドメインのSSL/TLSサーバ証明書を取得するためには次のコマンドを実行します。

1. #certbot --apache -d abc.com

「abc.com」と「www.abc.com」ドメインは別のものとして扱われるので両方別々取得する必要があります。この場合、「certbot --apache -d abc.com」と「certbot --apache -d www.abc.com」のコマンドを別々に実行すると後のドメインだけが接続可能状態になってしまうので次のように2つのドメインのSSL/TLSサーバ証明書を同時に取得して下さい。

1. #certbot --apache -d abc.com -d www.abc.com

連絡用メールアドレスを入力

入力して問題がない場合次のような画面が現れます。緊急時またはリニューアルの連絡のためのメールアドレスを入力してエンターキーを押して下さい。

1. Saving debug log to /var/log/letsencrypt/letsencrypt.log
   
2. Plugins selected: Authenticator apache, Installer apache
   
3. Enter email address (used for urgent renewal and security notices) (Enter 'c' to
4. cancel):
   

後でここで入力したメールアドレスの方へ確認のメールが届きますのでその時にはチャンとメールを開いて中のリンクをクリックして下さい。それで実存するメールアドレスという証明になります。メールの中のリンクをクリックするだけの単純な手続きで他に入力することはありません。

利用規約に同意

1. Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
   
   
3. -------------------------------------------------------------------------------
   
4. Please read the Terms of Service at
   
5. https://letsencrypt.org/documents/L... You must
6. agree in order to register with the ACME server at
7. https://acme-v01.api.letsencrypt.or...
   
8. -------------------------------------------------------------------------------
   
9. (A)gree/(C)ancel:

その次には規約に同意するのかについての質問です。letsencryptのSSLを利用するためには「同意する(Agree)」を意味する「A(大文字)」を入力すると次に進んで下さい。ここで辞めたい場合は「取り消し(Cancel)」を意味する「C(大文字)」を入力して中断できます。

メールアドレスの活用の許可

1. -------------------------------------------------------------------------------
   
2. Would you be willing to share your email address with the Electronic Frontier
3. Foundation, a founding partner of the Let's Encrypt project and the non-profit
4. organization that develops Certbot? We'd like to send you email about EFF and
5. our work to encrypt the web, protect its users and defend digital rights.
   
6. -------------------------------------------------------------------------------
   
7. (Y)es/(N)o:

次にメールアドレスを「Electronic Frontier Foundation財団」と共有することに同意するかについての質問です。同意すると「Y(大文字)」、同意しない場合は「N(大文字)」を入力します。「Electronic Frontier Foundation財団」からの連絡が不必要な場合は「N」を入力してもSSL/TLSサーバ証明書の利用には問題ありません。

よくある質問

www.sample.comのSSLを取得するとsample.comが接続不能になり、sample.comのSSLを取得するとwww.sample.comが接続不能になります。
1. その場合は「certbot --apache -d sample.com -d www.sample.com 」のように同時に取得するとそういう問題はなくなります。

違うドメイン動詞でも同時にSSLの取得ができますか？
1. 同じディレクトリを使っているドメインならば異なるドメインでも一度で複数のドメインのSSLが取得できます。例えば「certbot --apache -d 1.sample.com -d 2.sample.com 」のようにサブドメインが違う時でも同時に取得でき、「certbot --apache -d sample1.com -d sample2.com 」のようにメインドメインが違ってもディレクトリさえ共有しているのならば問題ありません。ディレクトリが異なる場合は同時に取得できません。

ログ記録の設定

ログ記録が必要ないと思う場合は「/etc/httpd/conf.d/ssl.conf」と「/etc/letsencrypt/options-ssl-apache.conf」のログ設定を次のように修正してログを残さないように設定して下さい。

「/etc/httpd/conf.d/ssl.conf」ファイルのログ設定
1. #ErrorLog logs/ssl_error_log
2. #TransferLog logs/ssl_access_log
3. #CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"

「/etc/letsencrypt/options-ssl-apache.conf」ファイルのログ設定
1. #CustomLog /var/log/apache2/access.log vhost_combined
2. #LogLevel warn
3. #ErrorLog /var/log/apache2/error.log

[肥満度チェック] 実は肥満じゃない？

CentOSでletsencryptで無料SSL認証書を取得する方法

[肥満度チェック] 実は肥満じゃない？

事前準備

2018年1月以降letsencryptの設置時、Certbotがエラーで作動使えない場合の解決方法は➔ こちらで確認して下さい。

ファイアウォールでポート番号を確認

SSL認証書が使用するポート番号がファイアウォールにより遮断されていると正常に作動しないので「/etc/sysconfig/iptable」ファイルを開けて次の内容を追加します。

1. -A INPUT -p tcp --dport 8000 -j ACCEPT
2. -A INPUT -p tcp --dport 8443 -j ACCEPT

必要なモジュールの確認

「/etc/httpd/conf.modules.d/00-base.conf」の設定ファイルで次のモジュールがコメントアウトされていて無効になっている場合、「#」記号を削除して下さい。

certbotのインストールに必要なモジュール
1. LoadModule log_config_module modules/mod_log_config.so
2. LoadModule setenvif_module modules/mod_setenvif.so
3. LoadModule socache_shmcb_module modules/mod_socache_shmcb.so

EPELのリポジトリのインストール

次のようにコマンドを実行して、EPELのリポジトリのインストールを行います。

1. #yum install epel-release

LoadModule log_config_module modules/mod_log_config.so LoadModule setenvif_module modules/mod_setenvif.so LoadModule socache_shmcb_module modules/mod_socache_shmcb.so //유사한 이름이 있으므로 잘 확인해주기

certbotのインストール

問題発生時
1. 設置過程で「〇〇〇〇〇〇　: ●●●●●● not supported (known names: ). Maybe you need to load the appropriate ☆☆☆☆☆☆ (モジュール名).」のようなエラーが発生した場合は最後に書かれているモジュールがちゃんとインストールされているのか、またはコメントアウトされていないかを確認して解決できます。

letsencryptの設置と管理を自動かしてくれるクライアントソフトウェア「Certbot」の設置のため次のようにコマンドを実行します。複雑で難しかった従来のSSL/TLSサーバ証明書の取得・更新などがcertbotによりとても簡単になりました。

1. #yum install python-certbot-apache

これでSSL/TLSサーバ証明書の取得のための準備は終わりです。

ドメイン別のSSL/TLSサーバ証明書を取得

SSL/TLSサーバ証明書を取得するドメイン名を入力

1. #certbot --apache -d SSL/TLSサーバ証明書を取得するドメイン名

例えば「abc.com」ドメインのSSL/TLSサーバ証明書を取得するためには次のコマンドを実行します。

1. #certbot --apache -d abc.com

「abc.com」と「www.abc.com」ドメインは別のものとして扱われるので両方別々取得する必要があります。この場合、「certbot --apache -d abc.com」と「certbot --apache -d www.abc.com」のコマンドを別々に実行すると後のドメインだけが接続可能状態になってしまうので次のように2つのドメインのSSL/TLSサーバ証明書を同時に取得して下さい。

1. #certbot --apache -d abc.com -d www.abc.com

連絡用メールアドレスを入力

入力して問題がない場合次のような画面が現れます。緊急時またはリニューアルの連絡のためのメールアドレスを入力してエンターキーを押して下さい。

1. Saving debug log to /var/log/letsencrypt/letsencrypt.log
   
2. Plugins selected: Authenticator apache, Installer apache
   
3. Enter email address (used for urgent renewal and security notices) (Enter 'c' to
4. cancel):
   

後でここで入力したメールアドレスの方へ確認のメールが届きますのでその時にはチャンとメールを開いて中のリンクをクリックして下さい。それで実存するメールアドレスという証明になります。メールの中のリンクをクリックするだけの単純な手続きで他に入力することはありません。

利用規約に同意

1. Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
   
   
3. -------------------------------------------------------------------------------
   
4. Please read the Terms of Service at
   
5. https://letsencrypt.org/documents/L... You must
6. agree in order to register with the ACME server at
7. https://acme-v01.api.letsencrypt.or...
   
8. -------------------------------------------------------------------------------
   
9. (A)gree/(C)ancel:

その次には規約に同意するのかについての質問です。letsencryptのSSLを利用するためには「同意する(Agree)」を意味する「A(大文字)」を入力すると次に進んで下さい。ここで辞めたい場合は「取り消し(Cancel)」を意味する「C(大文字)」を入力して中断できます。

メールアドレスの活用の許可

1. -------------------------------------------------------------------------------
   
2. Would you be willing to share your email address with the Electronic Frontier
3. Foundation, a founding partner of the Let's Encrypt project and the non-profit
4. organization that develops Certbot? We'd like to send you email about EFF and
5. our work to encrypt the web, protect its users and defend digital rights.
   
6. -------------------------------------------------------------------------------
   
7. (Y)es/(N)o:

次にメールアドレスを「Electronic Frontier Foundation財団」と共有することに同意するかについての質問です。同意すると「Y(大文字)」、同意しない場合は「N(大文字)」を入力します。「Electronic Frontier Foundation財団」からの連絡が不必要な場合は「N」を入力してもSSL/TLSサーバ証明書の利用には問題ありません。

よくある質問

www.sample.comのSSLを取得するとsample.comが接続不能になり、sample.comのSSLを取得するとwww.sample.comが接続不能になります。
1. その場合は「certbot --apache -d sample.com -d www.sample.com 」のように同時に取得するとそういう問題はなくなります。

違うドメイン動詞でも同時にSSLの取得ができますか？
1. 同じディレクトリを使っているドメインならば異なるドメインでも一度で複数のドメインのSSLが取得できます。例えば「certbot --apache -d 1.sample.com -d 2.sample.com 」のようにサブドメインが違う時でも同時に取得でき、「certbot --apache -d sample1.com -d sample2.com 」のようにメインドメインが違ってもディレクトリさえ共有しているのならば問題ありません。ディレクトリが異なる場合は同時に取得できません。

ログ記録の設定

ログ記録が必要ないと思う場合は「/etc/httpd/conf.d/ssl.conf」と「/etc/letsencrypt/options-ssl-apache.conf」のログ設定を次のように修正してログを残さないように設定して下さい。

「/etc/httpd/conf.d/ssl.conf」ファイルのログ設定
1. #ErrorLog logs/ssl_error_log
2. #TransferLog logs/ssl_access_log
3. #CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"

「/etc/letsencrypt/options-ssl-apache.conf」ファイルのログ設定
1. #CustomLog /var/log/apache2/access.log vhost_combined
2. #LogLevel warn
3. #ErrorLog /var/log/apache2/error.log

[肥満度チェック] 実は肥満じゃない？