無料SSL Let’s Encryptの導入 ~ 更新方法まで

はじめに
導入方法
更新方法
1. コマンドで更新
2. crontabで自動更新
参考

はじめに

無料のSSL証明書「Let’s Encrypt」導入方法の備忘録です。

Let’s Encryptの証明書有効期限は3ヶ月間となっています。

この記事ではLet’s Encryptの導入方法と、証明書の更新方法を簡潔にご紹介します。

※CentOS7 + Apache2.4で実施しました。

導入方法

HTTPS (443) ポートを開放

# firewall-cmd --add-service=https --zone=public --permanent
# firewall-cmd --reload

certbotをインストール

certbotはLet’s Encryptのクライアントソフトです。

certbotをインストールすることにより、簡単なコマンド操作で証明書の取得・更新ができるようになります。

# yum install epel-release
# yum -y install certbot

証明書の初回作成

以下のコマンドを実行すると/etc/letsencrypt/live/[ドメイン名]/に証明書が生成されます。

# certbot certonly --agree-tos --non-interactive -d [ドメイン名] --webroot -w [ドキュメントルートのパス] --email [管理者のメールアドレス]

–webroot -w [ドキュメントルートのパス]はウェブサーバで公開するコンテンツが入っているディレクトリを指しています。
例
–webroot -w /var/www/example -d example.com

mod_sslのインストール

mod_sslをインストールします。
mod_sslはApacheでSSL/TLSを利用するための定番のモジュールです。

# yum -y install mod_ssl

コマンドを実行するとapacheのモジュールフォルダ内にssl.confファイルが生成されます。

mod_ssl設定

mod_sslに対して、最小限の設定しなければいけない項目だけ記述しておきます。

VirtualHost 443タグ内にある（なければ追加）
ServerName
ServerAdmin
DocumentRoot
SSLCertificateKeyFile
SSLCertificateFile
SSLCertificateChainFile
に対して値を指定していきましょう

vi /etc/httpd/conf.d/ssl.conf

<VirtualHost *:443>
    ## 以下設定箇所だけ抜粋
    ServerName ドメイン名
    ServerAdmin 管理者のメールアドレス
    DocumentRoot ドキュメントルートパス
    SSLEngine on
    SSLCertificateKeyFile /etc/letsencrypt/live/ドメイン名/privkey.pem
    SSLCertificateFile /etc/letsencrypt/live/ドメイン名/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/ドメイン名/chain.pem
</VirtualHost>

HTTP→HTTPS転送設定（任意）

mod_rewriteモジュールを使ってすべてのアクセスをHTTPSに転送することができます。
※こちらは任意項目です。不要であれば飛ばしてください。

設定ファイルをモジュールフォルダ内に作成します。

vi /etc/httpd/conf.d/rewrite.conf

<IfModule rewrite_module>
    RewriteEngine On
    LogLevel alert rewrite:trace3
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</IfModule>