Ubuntu14.04でLet’sEncryptを使用してApacheを保護する方法
###序章
このチュートリアルでは、ApacheをWebサーバーとして実行しているUbuntu14.04サーバーでLet’sEncryptからTLS/SSL証明書を設定する方法を説明します。
SSL証明書は、サーバーとクライアント間のトラフィックを暗号化するためにWebサーバー内で使用され、アプリケーションにアクセスするユーザーに追加のセキュリティを提供します。 Let’s Encryptは、信頼できる証明書を無料で取得してインストールする簡単な方法を提供します。
##前提条件
このガイドを完了するには、次のものが必要です。
- ルート以外のsudoユーザーがいるUbuntu14.04サーバー。これは、初期サーバーセットアップガイドに従ってセットアップできます。
- 1つ以上のドメイン名が適切に構成された状態でインストールされたApacheWebサーバー
先に進む準備ができたら、sudo対応アカウントを使用してサーバーにログインします。
##ステップ1—Let’sEncryptクライアントをダウンロードする
Let’s Encryptを使用してSSL証明書を取得するための最初のステップは、 certbot
サーバー上のソフトウェア。 Certbot開発者は、ソフトウェアの最新バージョンを使用して独自のUbuntuソフトウェアリポジトリを維持しています。 Certbotは非常に活発に開発されているため、このリポジトリを使用して、Ubuntuが提供するよりも新しいCertbotをインストールする価値があります。
まず、リポジトリを追加します。
- sudo add-apt-repository ppa:certbot/certbot
を押す必要があります ENTER
受け入れるために。 その後、パッケージリストを更新して、新しいリポジトリのパッケージ情報を取得します。
- sudo apt-get update
そして最後に、新しいリポジトリからCertbotをインストールします。 apt-get
:
- sudo apt-get install python-certbot-apache
The certbot
Let’sEncryptクライアントを使用する準備が整いました。
##ステップ2—SSL証明書を設定する
を使用してApacheのSSL証明書を生成する certbot
Let’sEncryptクライアントは非常に簡単です。 クライアントは、パラメータとして提供されたドメインに有効な新しいSSL証明書を自動的に取得してインストールします。
インタラクティブインストールを実行し、単一のドメインのみをカバーする証明書を取得するには、 certbot
次のコマンド:
- sudo certbot --apache -d example.com
複数のドメインまたはサブドメインに有効な単一の証明書をインストールする場合は、それらを追加のパラメーターとしてコマンドに渡すことができます。 パラメータリストの最初のドメイン名は、Let’sEncryptが証明書の作成に使用するbase ドメインになります。そのため、リストの最初に裸のトップレベルドメイン名を渡すことをお勧めします。 、その後に追加のサブドメインまたはエイリアスが続きます。
- sudo certbot --apache -d example.com -d www.example.com
この例では、baseドメインは次のようになります。 example.com
.
紛失したキーの回復と通知のために電子メールアドレスを提供するように求められ、Let’sEncryptの利用規約に同意する必要があります。 次に、両方を有効にするかどうかを選択するように求められます http
と https
すべてのリクエストにアクセスするか、リダイレクトを強制します https
.
インストールが完了すると、生成された証明書ファイルを次の場所で見つけることができるはずです。 /etc/letsencrypt/live
. SSL証明書のステータスは、次のリンクで確認できます(example.comをbaseドメインに置き換えることを忘れないでください)。
https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest
これで、を使用してWebサイトにアクセスできるようになります。 https
プレフィックス。
ステップ3—Certbotの自動更新を確認する
証明書を暗号化して、90日間だけ有効にします。 ただし、インストールしたcertbotパッケージは、実行することでこれを処理します。 certbot renew
systemdタイマーを介して1日2回。 systemd以外のディストリビューションでは、この機能は次の場所に配置されたcronスクリプトによって提供されます。 /etc/cron.d
. タスクは1日2回実行され、有効期限が切れてから30日以内に証明書が更新されます。
更新プロセスをテストするために、ドライランを実行できます。 certbot
:
- sudo certbot renew --dry-run
エラーが表示されない場合は、すべて設定されています。 必要に応じて、Certbotは証明書を更新し、Apacheをリロードして変更を取得します。 自動更新プロセスが失敗した場合、Let’s Encryptは指定した電子メールにメッセージを送信し、証明書の有効期限が近づいたときに警告します。
##結論
このガイドでは、ApacheでホストされているWebサイトを保護するために、Let’sEncryptから無料のSSL証明書をインストールする方法を説明しました。 公式のLet’sEncryptブログで重要な更新を随時確認し、CertbotのドキュメントでCertbotクライアントの詳細を確認することをお勧めします。