Lets’s Encryptを導入するにはクライアントであるcertbotが必要らしいのでとりあえず導入します。
certbotはgithubで公開されていますがwgetでバイナリをダウンロードできます。
$ cd /usr/local $ wget https://dl.eff.org/certbot-auto
certbotを利用してSSL証明書を発行します。
$ chmod a+x certbot-auto $ ./certbot-auto
コマンドを実行すると対話モードで必要な情報を入力できます。
まずはメールアドレスを聞かれます。
Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): nekonoprotocol@excite.co.jp
続いて利用規約への同意をします。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (A)gree/(C)ancel: A
メールアドレスにお知らせを受け取るかどうか入力します。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y 発行するSSL証明書のドメインを選択します。 2つ逆引きできたのか古い方と選択になりました。 Which names would you like to activate HTTPS for? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: protocol.nekono.tokyo 2: www.nekono.tokyo - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1 リダイレクトするかどうか聞いてきました。 ミドルウェアを調べて勝手にconfを作ってくれるようです。 Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
必要な情報の入力が終わるとSSL証明書が発行されます。
httpd.confのインクルードを勝手に書き換えてhttpd-le-ssl.confを読み込むようになっています。
必要な証明書のパスや設定はhttpd-le-ssl.confに記述されていました。
続いてSSL証明書の自動更新を行います。
コマンド一発でできるらしいのでクーロンで設定します。
vi /etc/crontab
2ヶ月に1回、朝6時とかに設定しておきます。
60日毎くらいに更新することを推奨されているみたいなのでそれに合わせます。
00 6 1 */2 * root /usr/bin/certbot-auto renew --post-hook "service httpd restart"
以上で設定作業完了となります。
certbot実行にエラーが発生しましたが対応方法は1つ前の記事で記述しておきました。
こちら