小銭スト

少しの工夫で毎日をもっと豊かに!

サイト運営

Apacheに無料サーバー証明書Let's Encryptをインストールする方法まとめ

Let's Encryptは無料で手に入るサーバー証明書ということで大人気。

ブログサイト運営には必須なサービスになりました。

しかも無料というメリットだけじゃなく、実は有料のサーバー証明書に比べて、サーバー証明書の発行も圧倒的に簡単なんです。

もはやLet's Encryptを使わない理由はないですね。

今回はLet's Encryptでサーバー証明書を発行して、Apacheにインストールするまでの手順をまとめます。


Let's Encryptエージェントのインストール

Let's Encryptを使うには、サーバーにLet's Encryptエージェント(Certbot)をインストールする必要があります。

本記事では、CentOS 7.2へインストールする手順を説明します。

まず、サーバーにSSHで接続し、rootになります。

yumでEPELをインストールします。

[root@kozenist ~]# yum install epel-release

次に、Certbot本体をyumでインストールします。

[root@kozenist ~]# yum install certbot python-certbot-apache

これでエージェントのインストールは完了です。

なお、VPSサービスによっては上記コマンドでエラーとなり、Let's Encryptエージェントがインストールできません。インストールできない環境の場合は、以下の記事を参照してください。

DTIのServersMan@VPSで無料サーバー証明書Let's Encryptを使うには?

サーバー証明書の発行

エージェントがインストールされたら、サーバー証明書を発行できます。

サーバー証明書の発行はcertbotコマンドで行います。

[root@kozenist ~]# certbot certonly --webroot -w /var/www/html/ -d kozenist.com

-wオプションには、Apacheのドキュメントルートを指定します。Apacheのデフォルト設定では/var/www/html/です。ドキュメントルートを別ディレクトリに変更している場合は、環境に合わせて設定してください。

また、-dオプションではサーバー証明書を発行したいホスト名を指定します。

certbotコマンドを実行すると、以下の画面のようになります。

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): info@kozenist.com

Let's Encryptからの通知メールを受け取るメールアドレスを入力します。証明書期限切れ通知メールなどが送信されるので、確実に受信可能なメールアドレスを入力しましょう。

メールアドレス入力後は、規約同意です。

Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

「A」で次の画面に進みます。

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

Let's Encryptプロジェクトに参加するかどうかの質問です。「Y」「N」どちらでも問題ないです。私は「Y」にしました。

Starting new HTTPS connection (1): supporters.eff.org
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for kozenist.com
Using the webroot path /var/www/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/kozenist.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/kozenist.com/privkey.pem
   Your cert will expire on 2018-06-29. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

無事、サーバー証明書が発行されました。

作成されたファイルは以下の場所にあります。

サーバー証明書 /etc/letsencrypt/live/ホスト名/fullchain.pem
秘密鍵 /etc/letsencrypt/live/ホスト名/privkey.pem
中間証明書 /etc/letsencrypt/live/ホスト名/chain.pem

 



Apacheの設定変更

/etc/httpd/conf.d/ssl.confを編集し、サーバー証明書や秘密鍵のファイルパスを変更します。

<VirtualHost *:443>
  ServerName kozenist.com
  DocumentRoot /var/www/html
  ErrorLog logs/ssl_error_log
  CustomLog logs/ssl_access_log combined

  SSLEngine on
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4
  SSLCertificateFile /etc/letsencrypt/live/kozenist.com/cert.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/kozenist.com/privkey.pem
  SSLCertificateChainFile /etc/letsencrypt/live/kozenist.com/chain.pem
</VirtualHost>

Apacheを再起動して完了です。

[root@kozenist ~]# systemctl restart httpd

まとめ

昔はサーバー証書といえばベリサインくらいしかなく、価格も10万円近くで個人には全く手が出せなかった・・・。

それが今は無料で完了できますよね。

いい時代になりました!

楽天カード

Google広告:本文直後




広告:楽天モーションウィジェット

-サイト運営
-,

人気記事

銀行 1
三菱UFJ銀行の定額自動送金サービスを無料化する方法

家賃や月謝など毎月一定額を銀行振込する場合、自動送金サービスを使うと払い忘れがなく便利ですよね。 実 ...

三菱UFJ銀行 2
三菱UFJ銀行の振込手数料を無料にするには?振込先銀行ごとに徹底解説!

三菱UFJ銀行から他行へ振込するには振込手数料がかかります。 今やネット銀行は振込手数料が無料になっ ...

SANDISK SSD PLUS 240GB 3
7年前のHP PavilionをSSD換装してWindows起動速度が5倍になった件

当サイトの運営や投資に使用しているPCは、7年前のノートPCです。 ご想像の通り、メチャクチャ遅い… ...

ニコニコレンタカー 4
やっぱり格安!5回以上利用して分かったニコニコレンタカーの6つのメリットとデメリットまとめ

我が家は都内にありますが、車を持っていません。 なので旅行に行ったり、電車では不便な場所へ行くときに ...

イオンモール 5
買わなくてもOK!駐車料金がかからない東京・神奈川・千葉・埼玉のイオンモールは?

家族連れに人気のイオンモール。 時間を気にせずショッピングしたり、ゲームコーナーで遊んだり、ダラダラ ...