Sakura Let's Encrypt + Apache 2.2

目次

FrontPage
・Windows11
・Chromebook
・Random
・機械学習
・さくらVPS
・Fedora13
・SuSe10
・Docker
・Ansible
・Java
・Scala
・Python
・Ruby
・Lisp
・Computer
・GIS
・HTML
・Culture
・Link

訪問者

total: 12511
today: 1
yesterday: 1
now: 1

更新

最新の10件

人気の10件

MenuBar

Let's Encrypt †

• https://letsencrypt.org/
  • 人類補完計画 HTTPS デフォルト化計画
  • スポンサー Cisco, Akamai, Electronic Frontier Foundation, Mozilla
  • 2016-04-12 サービスイン
• 有効期間 90 日の SSL サーバー証明書を無料で発効
• この記事の前提 [Cent OS 6.7 on Sakura VPS]

Let's Encrypt (certbot) のインストール †

# yum install -y git openssl mod_ssl
# cd /opt
# git clone https://github.com/certbot/certbot
# cd certbot
# ls
# ./certbot-auto --help

最後の help 表示(certbotの初回起動)で、certbot が依存ライブラリをワシワシ取ってくる

証明書発行 †

• plugin

  plugin	note	Apache一時停止
  apache	Debian ベースの Linux OS 上の Apache2.4 に対して証明書を自動設定	必要
  webroot	現在稼働中の Apache サーバを利用して、Let's Encrypt サーバが存在確認	不必要
  standalone	簡易Webサーバを起動して、Let's Encrypt サーバが存在確認	必要
  manual	手動で証明書を発行	不必要
  nginx	開発中	必要

  証明書を発効する Let's Encrypt 側では、証明書を置く Apache サーバがあるのかを実際に 80/443 にアクセスして検証する。
  現時点では webroot が簡単そう。証明書発行は一度のことではなくて、90 日ごと必要ですし
• webroot (練習) <本番の証明書の発行は１週間に５回まで!>

  # /opt/certbot/certbot-auto certonly --webroot -w /var/www/html/ -d hondou.homedns.org --test-cert

  /etc/letsencrypt/live/hondou.homedns.org/ 以下に鍵ができていたら成功
  "--test-cert" で作られた証明書は認証局に裏書されていない
• webroot (本番)

  # /opt/certbot/certbot-auto certonly --webroot -w /var/www/html/ -d hondou.homedns.org
  ...
  IMPORTANT NOTES:
   - Congratulations! Your certificate and chain have been saved at
     /etc/letsencrypt/live/hondou.homedns.org/fullchain.pem. Your cert
     will expire on 2016-08-15. To obtain a new version of the
     certificate in the future, simply run Certbot again.
   - If you like Certbot, please consider supporting our work by:

  acme-challenge (Let's Encrypt からの存在確認)

  # cat /var/log/httpd/access_log | grep acme-challenge
  66.133.109.36 - - [17/May/2016:23:23:51 +0900] "GET /.well-known/acme-challenge/***** HTTP/1.1"
  200 107 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

Apache への組み込み †

• /etc/httpd/conf.d/ssl.conf に証明書を登録

  SSLCertificateFile /etc/letsencrypt/live/hondou.homedns.org/cert.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/hondou.homedns.org/privkey.pem
  SSLCertificateChainFile /etc/letsencrypt/live/hondou.homedns.org/chain.pem

• Apache 再起動

  # service httpd restart

• https でアクセスできるようになった
  
• jQuery や MathJax? などの Javascript や web-font などを CDN で参照している場合、参照 URL も HTTPS にする必要あり。ブラウザが HTTPS のサイトから HTTP で外部サイトを参照している場合、読み込みを中断してしまう。

SSL設定を妥当にする　 †

• チェック https://www.ssllabs.com/
• 推奨設定生成 https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.2.15&openssl=1.0.1e&hsts=yes&profile=intermediate
• → ちょい古めのブラウザまで対応で、評価 A の設定
• Oldest compatible clients : Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7

証明書の自動更新 †

• "certbot-auto renew" は、証明書が期限切れ間近だったとき、証明書を更新する。
  • 何回呼んでもいい
  • /etc/letsencrypt/live/ 以下のシンボリックリンクが最新版に差し替えられる
  • Apache の再起動は不要 ... なはず
• /etc/cron.weekly/01-certbot

  #!/bin/bash
  /bin/date >> /var/log/certbot.log
  /opt/certbot/certbot-auto renew >> /var/log/certbot.log 2>&1
  

  • chmod +x 01-certbot を忘れずに
  • アルファベット順に実行される。証明書の更新は 99-backup よりも前に実行したい
• /etc/logrotate.d/certbot

  /var/log/certbot.log
  {
      monthly       # 月初に100kを超えていたらローテート
      minsize 100k
      rotate 5      # 5 世代
      missingok     # ログファイルがなくてもエラーにしない
      notifempty    # 空ファイルの場合はローテートしない
      compress      # 古いログは圧縮
  }
  

HTTP アクセスを HTTPS にリダイレクト †

• /etc/httpd/conf.d/rewrite.conf

  RewriteEngine On
  RewriteCond %{HTTPS} off
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  

• HTTPS でないリクエストは https:// にリダイレクト
• ステータスコードは 301 (Moved Permanently)

CentOS6 で Let's Encrypt 実行環境の Python を 2.6 から 2.7 にアップグレード †

• ログを見ると、最近こんなメッセージが出るようになった

  Had a problem while installing Python packages:
  DEPRECATION: Python 2.6 is no longer supported by the Python core team, please upgrade your Python.
  A future version of pip will drop support for Python 2.6

• つーことで、Let's Encrypt の certbot-auto コマンドが動く環境を Python 2.7 にアップグレードする
• どこをアップグレードするか?
  • certbot-auto コマンドは

    /root/.local/share/letsencrypt

    以下にある python で動く
  • ここの python は、初回の certbot-auto コマンド実行時に有効になっている python がコピーされる
• ということで
  1. SCL と Python 2.7 をインストールする。cf.「Sakura CentOS6 で SCL を使って Python2.7 を使う」
  2. 現在の実行環境を退避する

     # mv /root/.local/share/letsencrypt /root/.local/share/~letsencrypt

  3. Python 2.7 を有効化する

     # scl enable python27 bash
     # python -V
     Python 2.7.8

  4. certbot-auto コマンドを実行する

     # /opt/certbot/certbot-auto renew

     Python2.7 が /root/.local/share/letsencrypt にコピーされる

     # ls /root/.local/share/letsencrypt/bin/
     activate       activate_this.py  easy_install-2.7  ndg_httpclient  pip2    python-config  unit2
     activate.csh   certbot           jws               pbr             pip2.7  python2        wheel
     activate.fish  easy_install      letsencrypt       pip             python  python2.7

  5. SCL から抜けて certbot-auto が件の警告メッセージを出さないことを確認

     # exit
     # python -V
     Python 2.6.6
     # /opt/certbot/certbot-auto renew
     
     -------------------------------------------------------------------------------
     Processing /etc/letsencrypt/renewal/hondou.homedns.org.conf
     ------------------------------------------------------------------------------- 
     
     The following certs are not due for renewal yet:
       /etc/letsencrypt/live/hondou.homedns.org/fullchain.pem (skipped)
     No renewals were attempted.

  6. 退避した実行環境を削除

     # rm -rf /root/.local/share/~letsencrypt

2021追記 : Certbotが使えなくなったので、GetSSLで代替 †

• Certbot は snap でしか更新されず、旧版からのアクセスは拒絶される様になった
• bashで完結している GetSSL で代替えする
  • https://github.com/srvrco/getssl

CentOS 6 on さくらVPS