Let’s Encrypt
新サーバーでの新しいこととして,https 通信を行うことがあった。旧サーバーでもhttps は設定していたが,証明書として自己証明書を使っていたので,私の個人的な利用のみに制限されていた。最近の状況では,http はブラウザに「セキュリティー保護なし」と表示されるなど,接続が不安になるようになってきた。(勿論,ただ単に,ホームページで情報を公開しているだけなので,問題はないのだが。)そこで,新サーバーではweb通信は基本的にhttps を使うことにした。そのためには,公式な認証局を利用した証明書が必要であるが,幸い無料で証明書を発行してくれる,Let’s Encrypt というものがあり,これを利用させてもらうことにした。インストールの具体的説明等はいくつかのホームページがあり,それを参考にした。
certbotのホームページから,「certbot」をインストールして
/usr/local/bin/certbot-auto certonly –webroot -w /web用ドキュメントフォルダ -d メイン名
等を入力して,答えていくと,
IMPORTANT NOTES:
Congratulations! Your certificate and chain have been saved at:
と言った表示があり,証明書がインストールされた。証明書は,
/etc/letsencrypt/live/
下にドメイン名フォルダが作成され,その中に保存される。この場所は,証明書を利用する際にしばしば引用されるところである。証明書を取得した後,apacheのhttpsの設定をすれば,https 通信が可能となる。このこのサイトの証明書のパスを確認してみると,
DST Root CA X3
R3
pearlblue.net
となっている。このサーバーではいくつかのバーチャルドメインを運用しているので,追加の証明書を取得する必要があるが,それも上と同様なコマンドで実行可能であった。
Let’s Encrypt の証明書の有効期限は3ヶ月と短いので更新が必要であるが,
certbot renew
で全てのバーチャルドメインの証明書を(期限が30日未満の場合)更新してくれる。適宜手動でこのコマンドを実行すればよいが,cronを使って自動化する方法もある。証明書の取得は余り難しくなかったが,それぞれのソフトでこれを利用するには,それぞれ設定が必要で,苦労したものもある。証明書関連は注意深く見守る必要もあるので,しばらくは手動で行っていこう。