無料でSSL/TLC証明書を手に入れる

Certbot を使って無料でSSLを構築してみた。環境は Conoha+Kusanagi(nginx/centos7) 。
2016年6月現在、「nginx/centos7」の組み合わせだと、証明書のデプロイまでは自動でやってくれるが更新までは面倒を見てくれない。ことになっているが、kusanagi側の「Certbotを使った証明書の自動更新機能」により、自動更新までデプロイされる。


さっそくインストール。

Install
Certbot is packaged the in EPEL (Extra Packages for Enterprise Linux) repository. To enable EPEL on your system and install Certbot, run


ドキュメントでは、nginx/centos7 の組み合わせだと自動的に「証明書の更新」が出来ないから、ここでは「証明書の取得」だけやってcron等で更新してね、ということらしい。実際はkusanagi側の機能により既にCertbotを使った自動更新機能が動いている。。いずれにせよ、最初の証明書取得は以下の通り。

Get Started
Certbot supports a number of different “plugins” that can be used to obtain and/or install certificates.

Since your server architecture doesn’t yet support automatic installation you should probably use the certonly command to obtain your certificate.

以下、もしkusanagiに頼らず自力でCertbotを使って証明書を自動更新する方法。

Automating renewal
Let’s Encrypt certificates last for 90 days, so it’s highly advisable to renew them automatically! You can test automatic renewal for your certificates by running this command:

更新自体はcertbot renewコマンドで行う。--dry-runオプションで「実行したとしたら~」のテストができる。実際やってみたら以下のようになった。

成功したらしい。なお、証明書の有効期限は作成日から90日。

If that appears to be working correctly, you can arrange for automatic renewal by adding a cron or systemd job which runs the following: certbot renew -quiet

-quietオプションで標準出力に出なくなる。これを使ってcronジョブを作成する。
いくら無料とはいえ、あまり頻繁に更新するのもアレだな…、と思っていると、ドキュメントの最下部に以下のような記述があった。

Note: if you’re setting up a cron or systemd job, we recommend running it twice per day (it won’t do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let’s Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

更新が実際に必要になるまでは何もしないので1日に2回打ってね!とのこと。
用法容量を守って1日に2回、キチンと以下を実行すればよい。


なお、crontabには以下のような記述がある。


結論

  • Centos7+nginxにkusanagiが入った構成でCertbotを使ったSSL証明書の作成を行った
  • 証明書の作成はドキュメント通りに手順を実行すること。
  • 証明書の自動更新はkusanagi側の機能により提供されるので何もしなくて良い。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする