Let's EncryptのSSLサーバー証明書を、使用するサーバーとは別のマシンで作成する

提供:maruko2 Note.
移動: 案内, 検索

Let's EncryptのSSLサーバー証明書を、使用するサーバーとは別のマシンで作成する

SSLサーバー証明書を使用するOS CentOS release 4.8 (Final)
Let's Encrypt を実行するマシン CentOS Linux release 7.0.1406 (Core)

目次

Let's Encrypt クライアントをダウンロードする

git clone https://github.com/letsencrypt/letsencrypt

Let's Encrypt クライアントの実行環境を自動作成する

cd letsencrypt
./letsencrypt-auto --help

実行に必要なパッケージが自動インストールされる。
Installing Python packages... の処理に時間がかかる。

letsencrypt-auto コマンドの使用方法が表示されれば、実行環境ができたことになる。

SSLサーバー証明書を作成する

./letsencrypt-auto certonly --manual

TUI(テキスト・ユーザー・インターフェイス)が起動する。

  1. メールアドレスを入力し、tab キーを押し < OK > に移動して Enter を押す。
  2. letsencrypt-auto certonly manual step1.png

  3. <Agree > で Enter を押す。
  4. letsencrypt-auto certonly manual step2.png

    利用規約に同意するかどうか。

  5. SSLサーバー証明を利用するドメインを入力する。
  6. letsencrypt-auto certonly manual step3.png

  7. < YES > で Enter を押す。
  8. letsencrypt-auto certonly manual step4.png

  9. SSLサーバー証明書を使用するドメインの HTTP サーバーに、確認用のファイルを作成する。
  10. letsencrypt-auto certonly manual step5.jpg

  11. ファイルを作成完了後、ENTER を押す。
  12. ENTER を押すと、Let's Encrypt validation server からアクセスがある。

    ファイル作成前に ENTER を押してしまうと、確認に失敗し、1からやり直しになる。

  13. ドメインの確認が完了すると、次のような表示になる。
  14. IMPORTANT NOTES:
     - Congratulations! Your certificate and chain have been saved at
       /etc/letsencrypt/live/ドメイン名/fullchain.pem. Your cert will expire
       on 2016-07-17. To obtain a new version of the certificate in the
       future, simply run Let's Encrypt again.
     - If you like Let's Encrypt, please consider supporting our work by:
    
       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
       Donating to EFF:                    https://eff.org/donate-le
    

SSLサーバー証明書をapache にコピーして mod_ssl を設定する

SSLサーバー証明書は、Let's Encrypt クライアントを実行したマシンの /etc/letsencrypt/archive/ドメイン名 内にできている。

各ファイルを apache サーバーにコピーして次のように設定する。

SSLCertificateFile      /path/to/cert1.pem
SSLCertificateKeyFile   /path/to/privkey1.pem
SSLCertificateChainFile /path/to/chain1.pem

apache 2.4.8 以降では次のようになる。

SSLCertificateFile      /path/to/fullchain1.pem
SSLCertificateKeyFile   /path/to/privkey1.pem

更新する方法

この方法はSSLサーバー証明書を別のマシンで作成するので、自動更新することができない。

証明書を更新する場合は、作成するときと同じ作業をする。

参考ページ

LINEで送る このエントリーをはてなブックマークに追加
個人用ツール
名前空間
変種
表示
操作
案内
ツールボックス

注目のページ

このサイトのはてなブックマーク数