Let's Encryptで無料の暗号化鍵を発行しよう！

ここでは、無料で使える認証局、Let's Encryptを使った証明書の取得について掲載しています。

[広告]

Let's Encryptとは…？

通常、SSLでの認証に必要な証明書はデジサートやグローバルサインなどの認証局から発行される証明書と鍵を使い、通信の暗号化と発信者の信頼性を確保(実在証明)します。

しかし、この手続きには費用がかかります。

かと言って、自前の証明書と鍵では、通信の暗号化は可能ですが、実在証明をすることはできません。勝手に鍵を作って、「私は安全ですよ＾＾」と勝手に騒いでるだけ…って状態です。

なので、自前の証明書と鍵を使った場合、ブラウザでは以下のような警告が表示されます。

もちろんこのまま使用を続けることも可能ですが、初めてそのサイトを見た人は「え…大丈夫なの？」って思いますよね？でも、所詮自宅サーバ、費用はかけたくない…。

そこで登場するのがLet's Encrypt。Let's Encryptはネット通信の暗号化を広く普及させることを目的に2016年に始まったプロジェクトで、無料で使える認証局です。最近のブラウザなら上でご紹介したような警告が表示されることがありません。

ただし、無料なのはClass 1（ドメイン認証）に限ります。Class 1ではドメインの所有者のみの証明になります。信頼度という点では「自分で発行した証明書よりはマシ」程度に考えた方が良いでしょう。

業務で使う場合は有料のものを検討した方が良いと思いますが、いまやほとんどのブラウザがLet's Encryptに対応していますし、表示上はあまり差がありませんので、「通信の暗号化」だけが目的であれば必要充分です。

Let's Encryptによる認証鍵の発行

前提条件として、以下を満たす必要があります。

・ドメイン名、ホスト名でサーバにアクセスできること

Webサーバ構築済みとして話が進みますが、Webサーバ等はこの時点では必要ありません。

certbotのインストール

EPELリポジトリにApache用のcertbotがありますので、こちらを利用します。

EPELリポジトリの設定をしていない方は初期設定ページをご覧ください。

[root@al9 ~]# dnf -y --enablerepo=epel install certbot python3-certbot-apache

Installed:
  apr-1.7.0-12.el9_3.x86_64
  apr-util-1.6.1-23.el9.x86_64
  apr-util-bdb-1.6.1-23.el9.x86_64
  apr-util-openssl-1.6.1-23.el9.x86_64
  augeas-libs-1.13.0-5.el9.x86_64
  certbot-2.6.0-1.el9.noarch
  fontawesome-fonts-1:4.7.0-13.el9.noarch
  fonts-filesystem-1:2.0.5-7.el9.1.noarch
  httpd-core-2.4.57-5.el9.x86_64
  httpd-filesystem-2.4.57-5.el9.noarch
  httpd-tools-2.4.57-5.el9.x86_64
  mailcap-2.1.49-5.el9.noarch
  mod_ssl-1:2.4.57-5.el9.x86_64
  python-josepy-doc-1.13.0-1.el9.noarch
  python3-acme-2.6.0-1.el9.noarch
  python3-augeas-0.5.0-25.el9.noarch
  python3-certbot-2.6.0-1.el9.noarch
  python3-certbot-apache-2.6.0-1.el9.noarch
  python3-cffi-1.14.5-5.el9.x86_64
  python3-chardet-4.0.0-5.el9.noarch
  python3-configargparse-1.7-1.el9.noarch
  python3-configobj-5.0.6-25.el9.noarch
  python3-cryptography-36.0.1-4.el9.x86_64
  python3-distro-1.5.0-7.el9.noarch
  python3-idna-2.10-7.el9.noarch
  python3-josepy-1.13.0-1.el9.noarch
  python3-parsedatetime-2.6-5.el9.noarch
  python3-ply-3.11-14.el9.noarch
  python3-pyOpenSSL-21.0.0-1.el9.noarch
  python3-pycparser-2.20-6.el9.noarch
  python3-pyrfc3339-1.1-11.el9.noarch
  python3-pysocks-1.7.1-12.el9.noarch
  python3-pytz-2021.1-5.el9.noarch
  python3-requests-2.25.1-7.el9_2.noarch
  python3-setuptools-53.0.0-12.el9.noarch
  python3-urllib3-1.26.5-3.el9.noarch
  sscg-3.0.0-7.el9.x86_64

Complete!

証明書の生成

Let's Encryptでは、certbot-autoというプログラムが初めから用意されていて、自動的に証明書の発行や更新を行ってくれます。

証明書にはドメイン名(mhserv.info)だけでなく、ホスト名(www.mhserv.infoなど)も複数登録可能なので、URLに使いたいものを登録しておきましょう。（ドメイン名は必須です）

*.mhserv.infoといったワイルドカードを使った証明書も取得可能なようですが、DNSサーバへTXTレコードの登録が必要だったり、証明書の更新が自動でできなかったりするようなので、今回は取得しません。

尚、certbot-autoはWebサーバ機能を持っており、Apacheが動作していると競合してうまく動きません。動いている場合は一度止めておきます。

[root@al9 ~]# systemctl stop httpd

httpd を停止中:                                            [  OK  ]

[root@al9 ~]# usr/local/certbot/certbot-auto certonly --standalone /
--agree-tos /
-d mhserv.info(ドメイン名) /
-d www.mhserv.info(ホスト名) /
-m 管理者のメールアドレス

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mhserv.info
http-01 challenge for www.mhserv.info
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mhserv.info/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mhserv.info/privkey.pem
   Your cert will expire on 2019-03-24. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-les

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: n

[root@al9 ~]# systemctl start httpd

httpd を開始中:                                            [  OK  ]

ちなみに、途中の"n"は「暗号化技術に関しての情報をメールで送って良いかい？」の問いに対してのものです。欲しい場合は"y"と回答してください。

証明書の自動更新

Let's Encryptで発行された証明書の有効期限は3ヶ月です。期限が切れる前に更新作業が必要です。

[root@al9 ~]# vi /etc/cron.monthly/certbot-renew.sh

#!/bin/bash
systemctl stop httpd
certbot renew --force-renew --dry-run
systemctl start httpd

[root@al9 ~]# chmod +x /etc/cron.monthly/certbot-renew.sh

"--dry-run"（テストのみで更新はしない）を付け、正しく動作するかの確認をします。

[root@al9 ~]# sh /etc/cron.monthly/certbot-renew.sh

	- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
	** DRY RUN: simulating 'certbot renew' close to cert expiry
	**          (The test certificates below ha
	ve not been saved.)

	Congratulations, all renewals succeeded. The following certs have been renewed:
	  /etc/letsencrypt/live/mhserv.info/fullchain.pem (success)
	** DRY RUN: simulating 'certbot renew' close to cert expiry
	**          (The test certificates above have not been saved.)
	- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

"all renewals succeeded."と表示され、問題なくテストが進んだら、"--force-renew --dry-run"を削除しましょう。

[root@al9 ~]# vi /etc/cron.monthly/certbot-renew.sh

#!/bin/bash
systemctl stop httpd
certbot renew
systemctl start httpd

これで、1ヶ月に1回くらいのペースで自動更新を試みてくれます。

あまり短いペースだと更新を弾かれるようですが、翌月には更新されると思います。

MyDNSを利用している方へ

Let's Encryptには、1週間当たりの発行数制限があります。これはドメインごとに管理されているため、自分以外の方がmydns.jpドメインで証明書を作成した場合もカウントされていきます。

発行数制限に引っかかると、以下のような表示が出ます。

An unexpected error occurred:
There were too many requests of a given type :: Error creating new order :: too many failed authorizations 
recently: see https://letsencrypt.org/docs/rate-limits/

MyDNSワイルドカード対応証明書発行スクリプトの設置

今回はワイルドカードを使った証明書取得のスクリプトを有志の方が公開しているので、それを使って簡単に取得したいと思います。

[root@al9 ~]# wget 'https://github.com/disco-v8/DirectEdit/archive/master.zip' -O DirectEdit-master.zip

--2024-01-12 13:31:49--  https://codeload.github.com/disco-v8/DirectEdit/zip/refs/heads/master
Resolving codeload.github.com (codeload.github.com)... 20.27.177.114
Connecting to codeload.github.com (codeload.github.com)|20.27.177.114|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [application/zip]
Saving to: ‘DirectEdit-master.zip’

DirectEdit-master.z     [ <=>                ]   4.23K  --.-KB/s    in 0.001s

2024-01-12 13:31:50 (8.08 MB/s) - ‘DirectEdit-master.zip’ saved [4327]

[root@al9 ~]# unzip DirectEdit-master.zip

Archive:  DirectEdit-master.zip
50256b3e36a0974800bf6a17bfb8eafbb641e12c
   creating: DirectEdit-master/
  inflating: DirectEdit-master/README.md
  inflating: DirectEdit-master/txtdelete.php
  inflating: DirectEdit-master/txtedit.conf
  inflating: DirectEdit-master/txtregist.php

[root@al9 ~]# rm -f DirectEdit-master.zip

[root@al9 ~]# mv DirectEdit-master /opt/

ワイルドカード対応証明書発行スクリプトの設定

設定ファイルにアカウントの情報を入力します。

[root@al9 ~]# cd /opt/DirectEdit-master

[root@al9 DirectEdit-master]# vi txtedit.conf

<?php
    $MYDNSJP_URL       = 'https://www.mydns.jp/directedit.html';
    $MYDNSJP_MASTERID  = 'MyDNSのID';
    $MYDNSJP_MASTERPWD = 'MyDNSのパスワード';
    $MYDNSJP_DOMAIN = '取得したドメイン';
?>

パーミッションの設定

スクリプトにパーミッションの設定を行います。

[root@al9 DirectEdit-master]# chown root:root ./

[root@al9 DirectEdit-master]# chmod 700 ./*.php

[root@al9 DirectEdit-master]# chmod 600 ./*.conf

証明書の取得

設定が終わったら、実際に証明書を発行してもらいましょう。

[root@al9 DirectEdit-master]# /usr/local/certbot/certbot-auto certonly --manual \
--preferred-challenges=dns \
--manual-auth-hook /opt/DirectEdit-master/txtregist.php \
--manual-cleanup-hook /opt/DirectEdit-master/txtdelete.php \
-d 取得したドメイン -d *.取得したドメイン \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos -m 管理者のメールアドレス \
--manual-public-ip-logging-ok

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for mhserv.mydns.jp
dns-01 challenge for mhserv.mydns.jp
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/mhserv.mydns.jp/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/mhserv.mydns.jp/privkey.pem
   Your cert will expire on 2019-03-24. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le