Let’s Encryptは、インターネットセキュリティリサーチグループ(ISRG)によって開発された、無料の自動化されたオープンな認証局であり、無料のSSL証明書を提供します。
Let’s Encryptによって発行された証明書は、すべての主要なブラウザによって信頼されており、発行日から90日間有効です。
このチュートリアルでは、ApacheをWebサーバーとして実行しているCentOS8に無料のLet’sEncryptSSL証明書をインストールする方法について説明します。 certbotツールを使用して、証明書を取得および更新します。
前提条件#
続行する前に、次の前提条件が満たされていることを確認してください。
- パブリックサーバーのIPを指すドメイン名を使用します。
example.comを使用します 。 - Apacheは、ドメイン用に構成された仮想ホストを使用してサーバーにインストールされ、実行されます。
- ポート80と443はファイアウォールで開いています。
SSL暗号化Webサーバーに必要な次のパッケージをインストールします。
sudo dnf install mod_ssl openssl
mod_sslパッケージをインストールすると、ローカルホスト用の自己署名キーと証明書ファイルが作成されます。ファイルが自動的に作成されない場合は、 opensslを使用してファイルを作成できます。 コマンド:
sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \-out /etc/pki/tls/certs/localhost.crt \-keyout /etc/pki/tls/private/localhost.key
Certbot#をインストールします
Certbotは、サーバーからのSSL証明書の取得と更新、およびサーバーでのHTTPSの自動有効化のプロセスを簡素化する無料のコマンドラインツールです。
certbotパッケージは標準のCentOS8リポジトリには含まれていませんが、ベンダーのWebサイトからダウンロードできます。
次のwgetを実行します rootまたはsudouserとしてコマンドを実行して、certbotスクリプトを / usr / local / binにダウンロードします。 ディレクトリ:
sudo wget -P /usr/local/bin https://dl.eff.org/certbot-autoダウンロードが完了したら、ファイルを実行可能にします。
sudo chmod +x /usr/local/bin/certbot-auto強力なDh(Diffie-Hellman)グループ番号を生成します#
Diffie-Hellman鍵交換(DH)は、セキュリティで保護されていない通信チャネルを介して暗号化キーを安全に交換する方法です。セキュリティを強化するために、2048ビットのDHパラメータの新しいセットを生成します。
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048サイズは最大4096ビットまで変更できますが、システムのエントロピーによっては、生成に30分以上かかる場合があります。
Let’s EncryptのSSL証明書の取得#
ドメインのSSL証明書を取得するには、 ${webroot-path}/。well-known/acme-challenge<で要求されたドメインを検証するための一時ファイルを作成することで機能するWebrootプラグインを使用します。 / code> ディレクトリ。 Let’s Encryptサーバーは、一時ファイルに対してHTTPリクエストを送信して、リクエストされたドメインがcertbotが実行されているサーバーに解決されることを検証します。
セットアップをより簡単にするために、 .well-known / acme-challengeのすべてのHTTPリクエストをマッピングします 単一のディレクトリに、 / var / lib /letsencrypt 。
次のコマンドを実行してディレクトリを作成し、Apacheサーバーで書き込み可能にします。
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp apache /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
コードの重複を避け、構成をより保守しやすくするために、次の2つの構成スニペットを作成します。
/etc/httpd/conf.d/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
上記のスニペットは、Mozillaが推奨するチッパーを使用しています。 OCSPステープリング、HTTP Strict Transport Security(HSTS)、Dhキーを有効にし、セキュリティに重点を置いたHTTPヘッダーをいくつか適用します。
変更を有効にするためにApache構成を再ロードします:
sudo systemctl reload httpdこれで、webrootプラグインを使用してcertbotスクリプトを実行し、SSL証明書ファイルをフェッチできます。
sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com成功すると、certbotは次のメッセージを出力します。
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-01-26. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
すべての設定が完了したので、ドメイン仮想ホストの構成を次のように編集します。
/etc/httpd/conf.d/example.com.conf<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog /var/log/httpd/example.com-error.log
CustomLog /var/log/httpd/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
上記の構成では、HTTPSを強制し、wwwバージョンから非wwwバージョンにリダイレクトしています。また、HTTP / 2が有効になり、サイトがより高速で堅牢になります。必要に応じて構成を自由に調整してください。
Apacheサービスを再起動します:
sudo systemctl restart httpd
これで、 https://を使用してWebサイトを開くことができます 、緑色の鍵のアイコンが表示されます。
SSL Labsサーバーテストを使用してドメインをテストすると、以下に示すようにA+グレードを取得します。
自動更新Let’s Encrypt SSL証明書#
Let'sEncryptの証明書は90日間有効です。有効期限が切れる前に証明書を自動的に更新するために、1日に2回実行され、有効期限が切れる30日前に証明書を自動的に更新するcronjobを作成します。
次のコマンドを実行して、証明書を更新し、Apacheを再起動する新しいcronジョブを作成します。
echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null
更新プロセスをテストするには、certbotコマンドに続けて-dry-runを使用します スイッチ:
sudo /usr/local/bin/certbot-auto renew --dry-runエラーがない場合は、更新プロセスが成功したことを意味します。