Let’s Encrypt については，昨年12月19日の投稿で既に多くの内容を書いた。ここでは，そことの重複もあるが，次回のインストールのためのメモとしてまとめて置くことにする。

今回のサーバー更新での目的の一つとして，webのhttps化があった。前回もhttps通信はサーポートしたが，それは自己証明書によるもので，私個人が証明書をPCにインストールして使用していた。今回は公式な証明書を利用して，基本的にすべての通信をhttps化したいと思った。

Let’s Encryptはドメイン認証書をACMEプロトコルを利用してネットワークから無料で証明書を発行してくれる。そのためのソフトウエアがACMEクライアントである。このACMEクライアントは色々あるが，https://letsencrypt.org/ja/docs/client-options/によれば，Certbotがお勧めとある。前回，CentOS8ではcertbot-auto を利用したが，Oracle Linux では動かなかった。そこで今回はcertbotを利用した。使い方は殆ど同じである。実際のコマンドは

/usr/bin/certbot certonly –webroot -w /web用ドキュメントフォルダ -d メイン名 –email メール –server https://acme-v02.api.letsencrypt.org/directory

等すればよい。

ACMEクライアントはACMEプロトコルに従ってletsencrypt.orgとの交信を行い，チェックにパスすれば，letsencrypt.orgが証明書を発行してくれる。ACMEプロトコルはRFC 8555によって規定されているが，この説明はletsencrypt.orgや他のwebにもある。ACMEプロトコルを実行するには，証明書を申請するドメインにhttpでアクセスできることが必要である。即ち，httpdが起動しており，申請ドメインのDocumentRootに実際にアクセスできることが必要である。ACMEクライアントは，letsencrypt.orgから送信されるデータをもとに，認証用データ作成し，それをDocumentRoot下に

/.well-known/acme-challenge/K6x ・・・ -dvHs

のような一時データを置く。それをletsencrypt.orgがアクセスし，申請ドメインの正確性をチェックする。このチャレンジにパスすると，証明書が発行される。私の場合(certbot )，発行された証明書は

1. cert1.pem　サーバー証明書
2. chain1.pem　中間証明書
3. fullchain1.pem　上記1,2ファイルを含む証明書
4. privkey1.pem　認証用秘密鍵

であった。ここで，これらpemファイルの役割については，cetbot のホームページ
https://certbot.eff.org/docs/using.html#where-are-my-certificates
に詳しい説明がある。サーバー証明書については，Apache >= 2.4.8の場合は，fullchain.pem を使い，Apache < 2.4.8 の場合は，cert.pem とchain.pemを使うとある。また，pemファイルの内容は，openssl asn1parseコマンドを使って知ることができる。例えば，

openssl asn1parse -i -in fullchain1.pem

によって，fullchain1.pemの内容が表示される。

これらのpemファイルを利用すると，httpsが実現できる。即ち，これらの作業が完了後，対応するドメインのconfにhttpsの利用を記述して，httpdを再起動すれば，httpsでアクセス可能となる。例えば，現在のpearlblue.netの場合，Apache/2.4.37 (Oracle Linux)なので，/etc/httpd/conf.d下のpearlbule.net.confの<VirtualHost *443>以下に

SSLCertificateFile /etc/letsencrypt/live/pearlblue.net/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/pearlblue.net/privkey.pem

等を記述すればよい。以上の手続きをまとめると，

1. httpd を立ち上げる。
2. 目的ドメインに対して，<VirtualHost *80>を，記述し，httpでアクセス可能とする。
3. certbot コマンドを実行して，証明書を取得する。
4. 目的ドメインに対して，<VirtualHost *443>を，記述し，httpsでアクセス可能とする。
5. 必要なら，.htaccess を使って，httpからhttpsへのリダイレクト設定を行う。

となる。複数のバーチャルドメインも同様にして追加可能である。

Let’s Encrypt の証明書の有効期限は３ヶ月と短いので更新が必要であるが，

certbot renew

で全てのバーチャルドメインの証明書を（期限が30日未満の場合）更新してくれる。適宜手動でこのコマンドを実行すればよいが，cronを使って自動化する方法もある。

一つのサーバー（一つのIPアドレス）で複数のドメイン，ホスト名のホームページやメールアドレスを使う方法として，バーチャルドメインがある。現在のコンピュータの能力からすれば一台のサーバーでかなりの多くのドメインの扱いが可能である。バーチャルドメインの活用により，コンピュータの資源，さらにIPアドレスの資源を有効に利用することができる。バーチャルドメインはサーバー管理の基本技術と言えるだろう。
現在本サイトでもこれを利用していて，一つのサーバーで，４つのドメインを使っている。バーチャルドメインの実装方法については，明確な規則が無いらしく，各ソフトウエアがそれぞれの工夫でバーチャルドメインを実現している。CentOS8，Oracle Linux 8.3をインストールした経験では，バーチャルドメインの取り扱いには，次の３つのパターンがある。（以下の記述は，本サーバーにインストールした方法による一応の分類であり，設定の仕方によっては異なる。）

1. リアルドメインとバーチャルドメインを明確に区別をする。
2. リアルドメインとバーチャルドメインを同じに扱う。
3. リアルドメインとバーチャルドメインを大体同じに扱う。

postfix

postfixのバーチャルドメインの扱いは，タイプ１と言える。/etc/postfix/main.cf の中で，

hostname
mydomain
myorigin
mydestination

を設定するが，これはいずれもリアルドメイン，リアルホスト名周辺の名前である。更にバーチャルドメインについては，

virtual_alias_domains

で設定する。この名前は，リアルでなく，バーチャルなドメイン名のみを設定する。postfixの説明では，「バーチャル エイリアスドメイン名を mydestination ドメインには「絶対に」リストアップしないでください。」とある。（但し，mydestination ドメインに追加ドメインを設定する方法もある。しかし，この方法はここで想定するバーチャルドメインとは異なる。）実際にバーチャルの具体的設定は /etc/postfix/virtual ファイルに記述する。postfixの説明の中には，「バーチャル＊＊＊は，×××に「絶対に」・・・しないでください。」という記述が多くみられる。バーチャルの設定はかなり慎重にする必要がある。

mailman

メーリングリストソフトmailmanは，バーチャルドメインに対応していて，一つのサーバー上で各バーチャルドメイン宛てのメールイングリストを作成・運営することができる。mailmanの設定は，/etc/mailman/mm_cfg.pyで行う。そこでの方法を見ると，mailmanはタイプ２の扱いをしていると考えられる。

POSTFIX_STYLE_VIRTUAL_DOMAINS
DEFAULT_URL_HOST
DEFAULT_EMAIL_HOST

が既定の変数で，POSTFIX_STYLE_VIRTUAL_DOMAINSには，（あえてpostfix形式でのと断っている）バーチャルドメインのリストを設定する。DEFAULT_URL_HOSTにはリアルホスト名を設定する。これ以外に，バーチャルホストの名前の変数を設定して（例えば，V1_URL_HOST，V1_EMAIL_HOSTのように。），

add_virtualhost(DEFAULT_URL_HOST, DEFAULT_EMAIL_HOST)
add_virtualhost(V1_URL_HOST, V2_EMAIL_HOST)
・・・

のように，バーチャルホストを順次設定する。即ち，ここでのリアルホスト名は，最初のバーチャルホストの扱いになっている。つまり，すべてホストはバーチャルとして扱うと言える。

apache

apacheのバーチャルドメインの取り扱いは，タイプ３と言える。/etc/httpd/conf/httpd.conf の中で，

ServerName

で，リアルホスト名を設定する。この名前がデフォルトのサーバーとなる。バーチャルドメインホストは/etc/httpd/conf.dの中で，各ホスト名vhostname（仮の名前）に対応する，

vhostname.conf

を置く。このconf はバーチャルホストに対応していくつでも置くことができる。このそれぞれのconfファイルに，それぞれのDocumentRootや各ディレクトリのアクセス関係を記述する。この，conf.dのconfファイルの中に，リアルホスト名のconfファイルを置いてもよい。httpd.confは全体の基本設定をして，各ホスト名についての細かい設定は，このconf.dにあるconfファイルで可能である。そして，リアル，バーチャルにかかわらず，すべてのホスト名がここで，平等に設定可能である。（勿論，このディレクトリにあるconfファイルは，実際は，httpd.conf に読み込まれるものであるので，httpd.confで同様な設定をしても良いことになる。）

wordpress，simple machines forum

これらのソフトは，webでのアクセスで動作し，各webページにインストールすれば，バーチャルホストごとの運用が可能である。即ち，バーチャルとリアルの区別はなく，タイプ２と言える。

このように，各ソフトによって扱いは異なるが，バーチャルドメインでの運用が基本的に可能となっている。

但し，バーチャルの考え方は，ソフトによって微妙に異なるので，インストールの際はよく注意して設定をする必要がある。