無料SSLサーバー証明書「Let’s Encrypt」 を使ってみた

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

がせが「AWS Certificate Managerって凄いの?」ってエントリーをデプロイしていたので、ついカッとなってインスパイアされてやってみた。後悔はしていない。

ダウンロード

さて、このLet’s Encryptとやら、無料でSSLサーバー証明書が使えるという太っ腹なサービスです。
いったいどこで収入を得ていて、事業継続性がどうなのか、さっぱりわかりません。誰か教えてください。今日のところはあんまり興味ないけど。

Let’s Encryptってなんじゃらほい?

で、早速やってみましたが、なんだか既存の証明書ベンダーとはえらい違っています。

まず、

CSRファイルを作る必要がありません。

え?!マジ?!

いや、その程度はありますが。ほかのCA局でも。

実はLet’s Encryptの場合には、CSRが必要ないどころか、そもそも証明書を申請する必要がないんです。そして、サーバーにファイルを配置する必要もないんです。

そんなのでSSLできるの!!!???

ごもっともな疑問ですね。

要するに「自分で」サーバーにファイルを配置する必要がないというだけで、プログラムをインストールしてその子がやってくれるのです。

それがわかれば、実際にその子=「Certbotクライアント」というプログラムをインストールしちゃいましょう

CentOS6系は初めにPythonをインストールする

その前に、CentOS6系だとPython 2.7 環境を入れておく必要があります。
当然ですがrootで実行します。

sudo yum install centos-release-scl
sudo yum install python27 python27-python-tools
sudo scl enable python27 bash

Certbotクライアントインストール

そして、本番。

まずはGitをインストールして。

sudo yum install git

Certbotを適当なフォルダへインストールします。

cd /home/
git clone https://github.com/certbot/certbot

実行!!!!!!!

cd certbot
./certbot-auto

実行すると選択肢が表示されますので、その際には「Cancel」を選択します。

証明書を作成する前に、一旦httpdを停止しないとエラーが出ます。

sudo service httpd stop

証明書の作成

ここが本番中の本番。

Certbotに証明書を作成してもらいます。

./certbot-auto certonly --standalone -d www.hogehoge.com

以上で、以下の証明書が作成されます

/etc/letsencrypt/live/www.hogehoge.com/cert.pem
/etc/letsencrypt/live/www.hogehoge.com/chain.pem
/etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
/etc/letsencrypt/live/www.hogehoge.com/privkey.pem

証明書を設定する

証明書ができたらこっちのもの!!!
Apacheに認識させるため、設定です。

vi /etc/httpd/conf.d/ssl.conf

編集箇所は以下のとおり

SSLCertificateFile /etc/letsencrypt/live/www.hogehoge.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.hogehoge.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/www.hogehoge.com/chain.pem
SSLCACertificateFile /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem

できたら、Apacheを再起動すれば完成です~~~!

sudo service httpd stop
sudo service httpd start

SSLサイトの完成~

無題

ブラウザでエラーもなく、Let’s Encryptの証明書が確認できました~。
めでたしめでたし。

Let’s EncryptはLinux6系で発生するPythonのエラーについても解決策と解説が載っているのでとても親切ですね。

続編・・・?

Let’s Encryptの証明書は有効期間が3ヶ月と短いので、自動更新も出来るらしいですが、それはまた続編で。

Windows系で使えればもっといいのですが。。。この証明書をWindowsサーバーに乗せてみようかな。

などと、伏線を張っておきますかね。

 

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

コメント

コメントを残す