#author("2020-05-26T23:08:28+00:00","default:wikiadmin","wikiadmin")
#author("2020-05-27T11:59:06+00:00","default:wikiadmin","wikiadmin")
-無償のSSL証明書。自動で更新できるツール付きで驚くほど簡単に導入可能
-ACME(Automatic Certificate Management Environment)というRFCプロトコルに準拠したcertbotが使えるようになったのでほぼ自動化可能
-まずは個別証明書で2020/07の更新を乗り切る。

*参考情報 [#lf95051f]

https://qiita.com/Esfahan/items/9f11b38668239d1b52c5

*クライアントツール certbot [#k7f9ee55]

https://qiita.com/ariaki/items/5680cb6da6223844af4e

EPELパッケージがあれば一発でインストール可能

yum install python2-certbot-apache.noarch

「sudo yum reinstall python-urllib3
sudo yum reinstall python-requests」のエラーが出たのでurllib3とrequestを入れ直した。

 sudo pip uninstall requests
 sudo pip uninstall urllib3
 sudo yum remove python-urllib3
 sudo yum remove python-requests

*証明書インストール [#z29b113e]

**Apache運用中のときに証明書発行するコマンド [#rd9e2789]

 certbot certonly --webroot -w /var/www/vhosts/wiki -d wiki.rutake.com
一度にやろうとしたら失敗したので1ドメインごとに取得、最初だけメールアドレスやら規約同意やら

 certbot certonly --webroot -w DOCUMENT_ROOT -d YOUR_DOMAIN

1回目失敗。2回目成功なぜ?/etc/letsencrypt/live/[ドメイン名]/に証明書が作成される

**作成された証明書 [#ff85339c]

|SSLCertificateFile|/etc/letsencrypt/live/wiki.rutake.com|
|SSLCACertificateFile|/etc/letsencrypt/live/wiki.rutake.com|
|SSLCertificateKeyFile|/etc/letsencrypt/live/wiki.rutake.com/privkey.pem|


*ワイルドカード証明書 [#i7b0715a]


https://qiita.com/chamaharun/items/566c78bb8a13b4c2bc16

*認証方式 [#mdbb32e2]

-HTTP/HTTPS(.well-known/の下に認証ファイルを配置する。RapidSSLと同じ方式)
-DNS方式(アクセス権限をかけているWebサーバーに対して有効)

**HTTP-01 [#wbeaf8e6]

Let's encryptで取得したトークンを指定のディレクトリ以下に配置する。一番楽かな

 http://example.com/.well-known/acme-challenge/(取得したトークン)

**DNS方式 [#od9cc631]

DNS-01 Challengeという方式。_acme-challenge.目的ドメインのTXTレコードにトークンを設定する。WEBサーバーが不要なので、ロードバランスしているとかHTTP-01がやりづらいときの選択肢


***txtレコード追加 [#b520b717]

 dig -t txt _acme-challenge.rutake.com

dig txt rutake.com

https://www.xmisao.com/2016/04/18/get-free-certification-by-letsencrypt-dns-01-authentication.html

**ACMEv2方式 [#w0015528]

_acme-challenge.yourdomain.comのTXTレコードに認証情報を設定する。

https://qiita.com/binzume/items/698d12779b8ad5cda423
https://narusejun.com/archives/23/

*value domain対応 [#q8ddeb7f]

txtレコードの動的編集ができないようなので、別のDNSに向ける

 a tmpdns 別のDNSIP
 ns _acme-challenge tmpdns.rutake.com.

*cloudfrare [#b6307a2e]

https://blog.cles.jp/item/10130


トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS