Let’s EncryptのBetaが使えるようになりました | no news.

Let’s EncryptのBetaが使えるようになりました

Let’s Encryptのベータ版の申し込みを結構前にしたところ、先日使えるようになった旨のメールが送られてきました。そこで早速試してみました。
試してみて気づいたのですが、SSL証明書作成に必要な秘密鍵の作成やCSRの作成を意識せずにSSL証明書が作成できました。今のところコマンドラインからの実行が必要ですが、今後GUIで、あるいはWebベースでできるようになると便利ですね。

※Let’s Encryptについては最後にリンクをまとめてあります

Let’s Encrypt User Guide

まずはgithubからツールをコピーします。

$ git clone https://github.com/letsencrypt/letsencrypt
Cloning into 'letsencrypt'...
remote: Counting objects: 22710, done.
remote: Compressing objects: 100% (27/27), done.
remote: Total 22710 (delta 12), reused 0 (delta 0), pack-reused 22683
Receiving objects: 100% (22710/22710), 5.87 MiB | 2.67 MiB/s, done.
Resolving deltas: 100% (15790/15790), done.
Checking connectivity... done.

証明書を入手するコマンドを実行します。コマンド実行に必要なパッケージが幾つか自動インストールされるので、厳密に管理されているサーバーでは実行しないほうがいいでしょう。

$ cd letsencrypt/
$ ./letsencrypt-auto --agree-dev-preview --server \
> https://acme-v01.api.letsencrypt.org/directory auth
Bootstrapping dependencies for Debian-based OSes...
4,612 kB を 8秒 で取得しました (572 kB/s)
パッケージリストを読み込んでいます... 完了
E: パッケージが見つかりません
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています
状態情報を読み取っています... 完了
gcc は既に最新バージョンです。
gcc は手動でインストールしたと設定されました。
python は既に最新バージョンです。
ca-certificates は既に最新バージョンです。
git は既に最新バージョンです。
libssl-dev は既に最新バージョンです。
提案パッケージ:
augeas-doc augeas-tools
推奨パッケージ:
python-pip
以下のパッケージが新たにインストールされます:
augeas-lenses dialog libaugeas0 libffi-dev libpython-dev libpython2.7-dev
python-dev python-setuptools python-virtualenv python2.7-dev
アップグレード: 0 個、新規インストール: 10 個、削除: 0 個、保留: 12 個。
24.8 MB のアーカイブを取得する必要があります。
この操作後に追加で 40.3 MB のディスク容量が消費されます。
24.8 MB を 18秒 で取得しました (1,310 kB/s)
以前に未選択のパッケージ libpython2.7-dev:amd64 を選択しています。

ここでAutomatically~を選択しましたが、これは間違っているかも。。。とりあえず進めます。

QS_20151105-094916

メールアドレスを入力します。これはLet’s Encryptに申し込んだ時のメールアドレスです。

QS_20151105-094944

利用規約です。

QS_20151105-094959

証明書を発行するドメインを入力します。

QS_20151105-095105

An unexpected error occurred.
Error: unauthorized :: The client lacks sufficient authorization :: Error creating new authz :: Syntax error
Please see the logfiles in /var/log/letsencrypt for more details.

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
e-mails sent to test@examle.com.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Let's
Encrypt so making regular backups of this folder is ideal.
$

エラーになったので、/etc/letsencryptを/rootに移動(バックアップ)、/home/ts/letsencryptを削除後、git cloneからやり直しました。またもエラーになったのですが、どうもコマンド実行時にポート80を使っているとダメらしいです。(最初の設問でapache~を選んでおけばよかったのかも)このサーバーではnginxが動作しているので一時的にnginxを停止して行ったところ、下記の通り成功しました。

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/no-ne.ws/fullchain.pem. Your cert will expire
on 2016-02-03. To obtain a new version of the certificate in the
future, simply run Let's Encrypt again.

ドキュメントによると/etc/letsencrypt/live/no-ne.ws/fullchain.pemが中間証明書含む証明書、/etc/letsencrypt/live/no-ne.ws/privkey.pemがサーバー秘密鍵のようです。そのためnginxの設定ファイルを下記のようにして再起動してみました。

nginxのSSL証明書設定関連の設定

ssl_certificate /etc/letsencrypt/live/no-ne.ws/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/no-ne.ws/privkey.pem;

秘密鍵、証明書の保存場所について。なお、このディレクトリにあるファイルはアップデートされていくので、webサーバーの設定ファイルに記述する際にもこのディレクトリを指定したほうが良いとのことです。

All generated keys and issued certificates can be found in /etc/letsencrypt/live/$domain. Rather than copying, please point your (web) server configuration directly to those files (or create symlinks). During the renewal, /etc/letsencrypt/live is updated with the latest necessary files.

秘密鍵について。

privkey.pem
Private key for the certificate.

証明書について。

fullchain.pem
All certificates, including server certificate. This is concatenation of chain.pem and cert.pem.

This is what nginx needs for ssl_certificate.

参考:Where are my certificates?

さっそくchromeで確認。無事にアクセスできました。

QS_20151107-153202

参考リンク:

無料で容易なHTTPS導入を支援する「Let’s Encrypt」、2015年に運用開始へ

サーバー証明書の無料配布プロジェクト「Let’s Encrypt」、最初の証明書を発行

「Let’s Encrypt」による証明書の安全性が証明

Beta Program Announcements(ベータプログラムへの参加について)

スポンサーリンク
レクタングル大

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
レクタングル大