Ubuntu18.04でLetsEncryptを使用してApacheを保護する

Let’s Encryptは、Internet Security Research Group（ISRG）によって作成された認証局です。手動による証明書の作成、検証、インストール、更新を排除するように設計された完全に自動化されたプロセスを介して、無料のSSL証明書を提供します。

Let’s Encryptによって発行された証明書は、今日のすべての主要なブラウザによって信頼されています。

このチュートリアルでは、Ubuntu 18.04のcertbotツールを使用してLet’sEncryptでApacheを保護する方法を段階的に説明します。

前提条件＃

このチュートリアルを続行する前に、次の前提条件を満たしていることを確認してください。

• パブリックサーバーのIPを指すドメイン名。 example.comを使用します 。
• ドメインにapache仮想ホストをインストールしたApacheがあります。

Certbot＃をインストールします

Certbotは、Let’s Encrypt SSL証明書の取得と更新、およびWebサーバーの構成のタスクを自動化できる、完全な機能を備えた使いやすいツールです。 certbotパッケージはデフォルトのUbuntuリポジトリに含まれています。

パッケージリストを更新し、certbotパッケージをインストールします：

sudo apt updatesudo apt install certbot

強力なDh（Diffie-Hellman）グループ番号を生成します＃

Diffie-Hellman鍵交換（DH）は、セキュリティで保護されていない通信チャネルを介して暗号化キーを安全に交換する方法です。セキュリティを強化するために、2048ビットのDHパラメータの新しいセットを生成します。

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

必要に応じて、最大4096ビットのサイズを変更できますが、その場合、システムのエントロピーによっては、生成に30分以上かかる場合があります。

Let’s EncryptのSSL証明書の取得＃

ドメインのSSL証明書を取得するには、${webroot-path}/.well-known/acme-challenge ディレクトリ。 Let’s Encryptサーバーは、一時ファイルに対してHTTPリクエストを送信して、リクエストされたドメインがcertbotが実行されているサーバーに解決されることを検証します。

より簡単にするために、.well-known/acme-challengeのすべてのHTTPリクエストをマッピングします。 単一のディレクトリに、/var/lib/letsencrypt 。

次のコマンドは、ディレクトリを作成し、Apacheサーバーで書き込み可能にします。

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

コードの重複を避けるために、次の2つの構成スニペットを作成します。

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

/etc/apache2/conf-available/ssl-params.conf

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

上記のスニペットは、Mozillaが推奨するチッパーを使用しており、OCSPステープリング、HTTP Strict Transport Security（HSTS）を有効にし、セキュリティに重点を置いたHTTPヘッダーをほとんど適用していません。

構成ファイルを有効にする前に、両方のmod_sslを確認してください およびmod_headers 次を発行することで有効になります：

sudo a2enmod sslsudo a2enmod headers

次に、次のコマンドを実行してSSL構成ファイルを有効にします。

sudo a2enconf letsencryptsudo a2enconf ssl-params

HTTP / 2モジュールを有効にします。これにより、サイトがより高速で堅牢になります。

sudo a2enmod http2

変更を有効にするためにApache構成を再ロードします：

sudo systemctl reload apache2

これで、webrootプラグインを使用してCertbotツールを実行し、次のように入力してSSL証明書ファイルを取得できます。

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

SSL証明書が正常に取得されると、certbotは次のメッセージを出力します。

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-10-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

証明書ファイルができたので、ドメイン仮想ホストの構成を次のように編集します。

/etc/apache2/sites-available/example.com.conf

<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

上記の構成では、HTTPSを強制し、wwwバージョンから非wwwバージョンにリダイレクトしています。必要に応じて構成を自由に調整してください。

変更を有効にするためにApacheサービスをリロードします：

sudo systemctl reload apache2

これで、https://を使用してWebサイトを開くことができます 、緑色の鍵のアイコンが表示されます。

SSL Labsサーバーテストを使用してドメインをテストすると、以下に示すようにA+グレードを取得します。

自動更新Let’s Encrypt SSL証明書＃

Let'sEncryptの証明書は90日間有効です。証明書の有効期限が切れる前に自動的に更新するために、certbotパッケージは1日2回実行されるcronジョブを作成し、有効期限の30日前に証明書を自動的に更新します。

証明書が更新されたら、Apacheサービスもリロードする必要があります。 --renew-hook "systemctl reload apache2"を追加します /etc/cron.d/certbotへ 次のようにファイルします：

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

更新プロセスをテストするには、certbot --dry-runを使用できます。 スイッチ：

sudo certbot renew --dry-run

エラーがない場合は、更新プロセスが成功したことを意味します。