Let's Encryptで無料の暗号化鍵を発行しよう！

ここでは、無料で使える認証局、Let's Encryptを使った証明書の取得について掲載しています。

[広告]

Let's Encryptとは…？

通常、SSLでの認証に必要な証明書はデジサートやグローバルサインなどの認証局から発行される証明書と鍵を使い、通信の暗号化と発信者の信頼性を確保(実在証明)します。

しかし、この手続きには費用がかかります。

かと言って、自前の証明書と鍵では、通信の暗号化は可能ですが、実在証明をすることはできません。勝手に鍵を作って、「私は安全ですよ＾＾」と勝手に騒いでるだけ…って状態です。

なので、自前の証明書と鍵を使った場合、ブラウザでは以下のような警告が表示されます。

もちろんこのまま使用を続けることも可能ですが、初めてそのサイトを見た人は「え…大丈夫なの？」って思いますよね？でも、所詮自宅サーバ、費用はかけたくない…。

そこで登場するのがLet's Encrypt。Let's Encryptはネット通信の暗号化を広く普及させることを目的に2016年に始まったプロジェクトで、無料で使える認証局です。最近のブラウザなら上でご紹介したような警告が表示されることがありません。

ただし、無料なのはClass 1（ドメイン認証）に限ります。Class 1ではドメインの所有者のみの証明になります。信頼度という点では「自分で発行した証明書よりはマシ」程度に考えた方が良いでしょう。

業務で使う場合は有料のものを使った方が良さそうです。

詳しくは、Let's Encrypt 総合ポータルをご覧ください。

Let's Encryptによる認証鍵の発行

前提条件として、以下を満たす必要があります。

・ドメイン名、ホスト名でサーバにアクセスできること

Webサーバ構築済みとして話が進みますが、Webサーバ等はこの時点では必要ありません。

certbotのインストール

EPELリポジトリにApache用のcertbotがありますので、こちらを利用します。

EPELリポジトリの設定をしていない方は初期設定ページをご覧ください。

[root@co ~]# yum -y --enablerepo=epel install python2-certbot-apache

インストール:
  python2-certbot-apache.noarch 0:1.0.0-1.el7

依存性関連をインストールしました:
  apr.x86_64 0:1.4.8-5.el7
  apr-util.x86_64 0:1.5.2-6.el7
  audit-libs-python.x86_64 0:2.8.5-4.el7
  augeas-libs.x86_64 0:1.4.0-9.el7
  certbot.noarch 0:1.0.0-1.el7
  checkpolicy.x86_64 0:2.5-8.el7
  httpd.x86_64 0:2.4.6-90.el7.centos
  httpd-tools.x86_64 0:2.4.6-90.el7.centos
  libcgroup.x86_64 0:0.41-21.el7
  libsemanage-python.x86_64 0:2.5-14.el7
  mailcap.noarch 0:2.1.41-2.el7
  mod_ssl.x86_64 1:2.4.6-90.el7.centos
  policycoreutils-python.x86_64 0:2.5-33.el7
  pyOpenSSL.x86_64 0:0.13.1-4.el7
  pytest.noarch 0:2.7.0-2.el7
  python-IPy.noarch 0:0.75-6.el7
  python-augeas.noarch 0:0.5.0-2.el7
  python-backports.x86_64 0:1.0-8.el7
  python-backports-ssl_match_hostname.noarch 0:3.5.0.1-1.el7
  python-cffi.x86_64 0:1.6.0-5.el7
  python-chardet.noarch 0:2.2.1-3.el7
  python-enum34.noarch 0:1.0.4-1.el7
  python-idna.noarch 0:2.4-1.el7
  python-ipaddress.noarch 0:1.0.16-2.el7
  python-ndg_httpsclient.noarch 0:0.3.2-1.el7
  python-ply.noarch 0:3.4-11.el7
  python-py.noarch 0:1.4.32-1.el7
  python-pycparser.noarch 0:2.14-1.el7
  python-requests.noarch 0:2.6.0-8.el7_7
  python-requests-toolbelt.noarch 0:0.8.0-1.el7
  python-setuptools.noarch 0:0.9.8-7.el7
  python-six.noarch 0:1.9.0-2.el7
  python-urllib3.noarch 0:1.10.2-7.el7
  python-zope-component.noarch 1:4.1.0-5.el7
  python-zope-event.noarch 0:4.0.3-2.el7
  python-zope-interface.x86_64 0:4.0.5-4.el7
  python2-acme.noarch 0:1.0.0-1.el7
  python2-certbot.noarch 0:1.0.0-1.el7
  python2-configargparse.noarch 0:0.11.0-1.el7
  python2-cryptography.x86_64 0:1.7.2-2.el7
  python2-distro.noarch 0:1.2.0-3.el7
  python2-future.noarch 0:0.16.0-15.20181019gitbee0f3b.el7
  python2-josepy.noarch 0:1.2.0-1.el7
  python2-mock.noarch 0:1.0.1-10.el7
  python2-parsedatetime.noarch 0:2.4-5.el7
  python2-pyasn1.noarch 0:0.1.9-7.el7
  python2-pyrfc3339.noarch 0:1.0-2.el7
  python2-six.noarch 0:1.9.0-0.el7
  pytz.noarch 0:2016.10-2.el7
  setools-libs.x86_64 0:3.3.8-4.el7

完了しました!

[root@co ~]# cd

証明書の生成

Let's Encryptでは、certbot-autoというプログラムが初めから用意されていて、自動的に証明書の発行や更新を行ってくれます。

証明書にはドメイン名(mhserv.info)だけでなく、ホスト名(www.mhserv.infoなど)も複数登録可能なので、URLに使いたいものを登録しておきましょう。（ドメイン名は必須です）

尚、certbot-autoはWebサーバ機能を持っており、Apacheが動作していると競合してうまく動きません。動いている場合は一度止めておきます。

[root@co ~]# systemctl stop httpd

httpd を停止中:                                            [  OK  ]

[root@co ~]# usr/local/certbot/certbot-auto certonly --standalone /
--agree-tos /
-d ドメイン名 /
-d ホスト名 /
-m 管理者のメールアドレス

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mhserv.info
http-01 challenge for www.mhserv.info
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mhserv.info/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mhserv.info/privkey.pem
   Your cert will expire on 2019-03-24. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-les

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: n

[root@co ~]# systemctl start httpd

httpd を開始中:                                            [  OK  ]

ちなみに、途中の"n"は「暗号化技術に関しての情報をメールで送って良いかい？」の問いに対してのものです。欲しい場合は"y"と回答してください。

証明書の自動更新

Let's Encryptで発行された証明書の有効期限は3ヶ月です。期限が切れる前に更新作業が必要です。

スクリプトはさくらのVPS(Cent OS6.8)でLet's Encryptを自動更新する方法で紹介されていたものを使用しています。

[root@co ~]# vi /etc/cron.monthly/certbot-renew.sh

#
# Copyright (c) 2016 Katsuya SAITO
#   参考：http://qiita.com/childsview/items/e4bff3b32b8304553980
#
# @(#) letsencrypt_cert_autoupdate_webroot.sh ver.0.1.0 2016.01.31
#
#######################################################

# CONFIGURE SECTION ---#

CMD_PATH=/usr/local/certbot
LOG_FILE=/var/log/certbot/renew.log
CN="ドメイン名"
MAIL_TO="root"

systemctl stop httpd

today=`date +%F-%a-%T`
echo "# Let's Encrypt Cert AutoUpdate Start: $today" >$LOG_FILE
/usr/local/certbot/certbot-auto renew --force-renew >>$LOG_FILE

today=`date +%F-%a-%T`
echo "# Let's Encrypt Cert AutoUpdate End: $today" >>$LOG_FILE

cat -v $LOG_FILE | mail -s "[Let's Encrypt Auto Update] Update Report for $CN" $MAIL_TO

systemctl start httpd

exit 0

[root@co ~]# chmod +x /etc/cron.monthly/certbot-renew.sh

MyDNSを利用している方へ

Let's Encryptには、1週間当たりの発行数制限があります。これはドメインごとに管理されているため、自分以外の方がmydns.jpドメインで証明書を作成した場合もカウントされていきます。

発行数制限に引っかかると、以下のような表示が出ます。

An unexpected error occurred:
There were too many requests of a given type :: Error creating new order :: too many failed authorizations 
recently: see https://letsencrypt.org/docs/rate-limits/

MyDNSワイルドカード対応証明書発行スクリプトの設置

今回はワイルドカードを使った証明書を有志の方が公開しているので、それを使って簡単に取得したいと思います。

[root@co ~]# wget 'https://github.com/disco-v8/DirectEdit/archive/master.zip' -O DirectEdit-master.zip

--2018-12-24 16:59:39--  https://github.com/disco-v8/DirectEdit/archive/master.zip
github.com をDNSに問いあわせています... 192.30.255.112, 192.30.255.113
github.com|192.30.255.112|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 302 Found
場所: https://codeload.github.com/disco-v8/DirectEdit/zip/master [続く]
--2018-12-24 16:59:40--  https://codeload.github.com/disco-v8/DirectEdit/zip/master
codeload.github.com をDNSに問いあわせています... 192.30.255.121, 192.30.255.120
codeload.github.com|192.30.255.121|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 特定できません [application/zip]
`DirectEdit-master.zip' に保存中

    [ <=>                                   ] 4,177       --.-K/s 時間 0.002s

2018-12-24 16:59:41 (2.37 MB/s) - `DirectEdit-master.zip' へ保存終了 [4177]

[root@co ~]# unzip DirectEdit-master.zip

Archive:  DirectEdit-master.zip
ea88d664c1b19f2cfa55d4b05f7571cf5e4a13d5
   creating: DirectEdit-master/
  inflating: DirectEdit-master/README
  inflating: DirectEdit-master/txtdelete.php
  inflating: DirectEdit-master/txtedit.conf
  inflating: DirectEdit-master/txtregist.php

[root@co ~]# rm -f DirectEdit-master.zip

[root@co ~]# mv DirectEdit-master /opt/

ワイルドカード対応証明書発行スクリプトの設定

設定ファイルにアカウントの情報を入力します。

[root@co ~]# cd /opt/DirectEdit-master

[root@co DirectEdit-master]# vi txtedit.conf

<?php
    $MYDNSJP_URL       = 'https://www.mydns.jp/directedit.html';
    $MYDNSJP_MASTERID  = 'MyDNSのID';
    $MYDNSJP_MASTERPWD = 'MyDNSのパスワード';
    $MYDNSJP_DOMAIN = '取得したドメイン';
?>

パーミッションの設定

スクリプトにパーミッションの設定を行います。

[root@co DirectEdit-master]# chown root:root ./

[root@co DirectEdit-master]# chmod 700 ./*.php

[root@co DirectEdit-master]# chmod 600 ./*.conf

証明書の取得

設定が終わったら、実際に証明書を発行してもらいましょう。

[root@co DirectEdit-master]# /usr/local/certbot/certbot-auto certonly --manual \
--preferred-challenges=dns \
--manual-auth-hook /opt/DirectEdit-master/txtregist.php \
--manual-cleanup-hook /opt/DirectEdit-master/txtdelete.php \
-d 取得したドメイン -d *.取得したドメイン \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos -m 管理者のメールアドレス \
--manual-public-ip-logging-ok

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for mhserv.mydns.jp
dns-01 challenge for mhserv.mydns.jp
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mhserv.mydns.jp/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mhserv.mydns.jp/privkey.pem
   Your cert will expire on 2019-03-24. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le