Let’s Encryptは、Internet Security Research Group(ISRG)によって作成された認証局です。手動による証明書の作成、検証、インストール、更新を排除するように設計された完全に自動化されたプロセスを介して、無料のSSL証明書を提供します。
Let’s Encryptによって発行された証明書は、発行日から90日間有効であり、今日のすべての主要なブラウザによって信頼されています。
このチュートリアルでは、ApacheをWebサーバーとして実行して、無料のLet’sEncryptSSL証明書をUbuntu20.04にインストールする方法について説明します。また、SSL証明書を使用してHTTP/2を有効にするようにApacheを構成する方法も示します。
前提条件#
続行する前に、次の前提条件が満たされていることを確認してください。
- rootまたはsudo権限を持つユーザーとしてログインしました。
- SSL証明書を取得するドメインは、パブリックサーバーのIPを指している必要があります。
example.comを使用します 。 - Apacheがインストールされています。
Certbotのインストール#
certbotを使用して証明書を取得します。これは、Let’sEncryptSSL証明書を取得および更新するためのタスクを自動化するコマンドラインツールです。
certbotパッケージは、デフォルトのUbuntuリポジトリに含まれています。パッケージリストを更新し、次のコマンドを使用してcertbotをインストールします。
sudo apt updatesudo apt install certbot
強力なDh(Diffie-Hellman)グループ番号を生成します#
Diffie-Hellman鍵交換(DH)は、セキュリティで保護されていない通信チャネルを介して暗号化キーを安全に交換する方法です。セキュリティを強化するために、2048ビットのDHパラメータの新しいセットを生成します。
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048サイズは最大4096ビットまで変更できますが、システムのエントロピーによっては、生成に30分以上かかる場合があります。
Let’s EncryptのSSL証明書の取得#
ドメインのSSL証明書を取得するには、${webroot-path}/.well-known/acme-challenge ディレクトリ。 Let’s Encryptサーバーは、一時ファイルに対してHTTPリクエストを送信して、リクエストされたドメインがcertbotが実行されているサーバーに解決されることを検証します。
より簡単にするために、.well-known/acme-challengeのすべてのHTTPリクエストをマッピングします。 単一のディレクトリに、/var/lib/letsencrypt 。
次のコマンドを実行してディレクトリを作成し、Apacheサーバーで書き込み可能にします。
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
コードの重複を避け、構成をより保守しやすくするために、次の2つの構成スニペットを作成します。
/etc/apache2/conf-available/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Header always set Strict-Transport-Security "max-age=63072000"
上記のスニペットは、Mozillaが推奨するチッパーを使用しており、OCSPステープリング、HTTP Strict Transport Security(HSTS)を有効にし、セキュリティに重点を置いたHTTPヘッダーをほとんど適用していません。
構成ファイルを有効にする前に、両方のmod_sslを確認してください およびmod_headers 次を発行することで有効になります:
sudo a2enmod sslsudo a2enmod headers
次に、次のコマンドを実行してSSL構成ファイルを有効にします。
sudo a2enconf letsencryptsudo a2enconf ssl-params
HTTP / 2モジュールを有効にします。これにより、サイトがより高速で堅牢になります。
sudo a2enmod http2変更を有効にするためにApache構成を再ロードします:
sudo systemctl reload apache2これで、webrootプラグインを使用してCertbotツールを実行し、SSL証明書ファイルを取得できます。
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comSSL証明書が正常に取得されると、certbotは次のメッセージを出力します。
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-10-06. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
証明書ファイルができたので、ドメイン仮想ホストの構成を次のように編集します。
/etc/apache2/sites-available/example.com.conf<VirtualHost *:80>
ServerName example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
上記の構成では、HTTPSを強制し、wwwバージョンから非wwwバージョンにリダイレクトしています。必要に応じて構成を自由に調整してください。
変更を有効にするためにApacheサービスをリロードします:
sudo systemctl reload apache2
これで、https://を使用してWebサイトを開くことができます 、緑色の鍵のアイコンが表示されます。
SSL Labsサーバーテストを使用してドメインをテストすると、以下に示すようにA+グレードを取得します。
自動更新Let’s Encrypt SSL証明書#
Let'sEncryptの証明書は90日間有効です。証明書の有効期限が切れる前に自動的に更新するために、certbotパッケージは1日2回実行されるcronジョブを作成し、有効期限の30日前に証明書を自動的に更新します。
証明書が更新されたら、Apacheサービスもリロードする必要があります。 --renew-hook "systemctl reload apache2"を追加します /etc/cron.d/certbotへ 次のようにファイルします:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
更新プロセスをテストするには、certbot --dry-runを使用できます。 スイッチ:
sudo certbot renew --dry-runエラーがない場合は、更新プロセスが成功したことを意味します。