無料SSL/TLS証明書 Let's Encrypt Part2
レス数が1000を超えています。これ以上書き込みはできません。
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ Let’s Encryptの証明書って自動更新ですよね?
突然アクセスしている全PCで、
不明な証明書というダイアログが表示されました。
一旦証明書を削除してつくりなおそうとしたら、
サーバの調子が悪くなりました。
なんかの拍子に自動更新が失敗した時は、
どうすべきだったのですか? 自動で更新する方法を自分で設定してなきゃ期限切れるさ
アホじゃなかろうか >>7
certbotをパッケージでインストールしてればcronで日2回動くようになってる。まずその点を確認しなよ
何かの拍子どころかそもそも自動更新されるように設定できてないんじゃね?
削除もちゃんとcertbot deleteしたのか、勝手にディレクトリごと削除したのか?
具体的に何をどうしたのか言わないとダメだよ
できないようなら、あなたは向いてないからレン鯖でも借りてなさい >>10
Plesk使っててその中にLet’s encryptがありました。
そのUI上に更新の設定はなく、
基本自動更新される物だと思ってました。
証明書はPleskの画面から、
証明書を削除しました。 > 基本自動更新される物だと思ってました。
もうさWebサイトとかやめた方が良い 証明書削除する前に無効化処理してないと、再作成の際にアラートがでる。
サードパーティの自動化処理だとそこで蹴られたりするかもな >>7
> サーバの調子が悪くなりました。
具体的に サーバは決められた手順と指示のあったコマンドの通りに動いてるのにな
間違った指示を出している管理側に致命的な問題がある 証明書が自動更新されていたとしてもサーバが食ってないと意味がない。
証明書が更新されたら、サーバの設定をreloadしてやることを忘れてはいけない。 それを気にしなきゃいけないのはマニュアルな人だけかと
自動化スクリプトやコマンドオプションに大抵のサーバの再起動まで当たり前に入ってる 文脈からしてwebサーバーの再起動としか読めないが CentOS で systemd だとこれ cron でまわしときゃいい
MTA 周りでも使ってるから一緒に restart しとる。
certbot renew --post-hook "systemctl restart nginx dovecot postfix" --quiet 一時的な無反応を発生させない warm restart であるべきだから reload 推奨 >>21
あまり気にかけてなかったけど指摘されたら気になったので念のため挙動確認してから reload に変えておいた。
thx デス! バッチで自動更新仕掛けててもなんだかんだの理由でしょっちゅうコケてて駄目だなこれ
安定する方法ないのか 5週間前から更新されたはずだから1週間に1回しかけておけば5週連続失敗なんてことでもなけれりゃ むしろログ見てなんで失敗したかによって原因を排除もできないのか?
Webサーバ公開なんてやめた方が良いぞ、それじゃ 殺伐としてもしょうがないんだけど、ちょっと省みた方がいいよね。
システムが悪いんじゃなくて使い方に問題がありますよって話で。 個人独自ドメインなので、多少の弊害があってもいいやってんで
certbot renew --quiet --post-hook "reboot"
という設定を cron で動かしています。
本当は Web サーバーやその他必要なプロセスを再読み込みするのが正しいやり方なんだろうと思いますが
これによって、致命的な弊害の可能性ありますでしょうか?
偉い人、教えて下さい。 そういう質問するレベルだと
たまにfsck走って上がってくるまで時間かかりダウンタイムが長くなる弊害もありそうだな 1リクエストたりとも取りこぼしが許されないウォームリスタートに数十万年の投資するような必要がなければ、
2か月ちょいに一度、時間指定できる1分程度の停止が発生してても気にスンナ
毎日リブートかけてるような運用してる業者もゴロゴロだ 勝手に録画が中断されたら困るからrebootはチューナーの使用状況を確認して実行しないとな。 スレチだと思うのですが、教えて下さい。エロい人
http でアクセスしてきたら https にリダイレクトしているんですが、
例えば、
http://www.exsample.com?id=xxx&pass=xxx
ってアクセスがが来た時、id や pass はちゃんと暗号化されていますか? >>34
されていますん。
気になるならパケットキャプチャして目で見て確認。 クライアント「http://www.example.com/id=xxx&pass=xxxにアクセスするぞ!」
クライアント→サーバー(http)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」 ←ココでhttp平文通信で要求パスが送られる
サーバー→クライアント(http)「そのページはこっちにあんねん つhttps://www.example.com/id=xxx&pass=xxx」 ←ここも当然http
クライアント「https://www.example.com/id=xxx&pass=xxxにリダイレクトだ!」
クライアント→サーバー(https)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」
サーバー→クライアント(https)「おっけー、HTMLおくるよー」
普通に考えてhttpsにリダイレクトされる前にhttp通信してるじゃん
そこで平文で流れてるじゃん 要求を送る前にログインページがあって、HSTSヘッダを受け取っていた場合は、
次の要求はHTTPにリクエストせずHTTPSになり暗号化される、とも考えられる。
つまりこれだけの情報でははっきりした回答は出来ない、設定次第でYesにもNoにもなりうる。 >>39
>>34の例だとすでにhttpでGETしているのだから、あなたが考えた「場合」に該当しないことは明らか
というかスレチ どういう条件でhttpsが使われるかって話だけに限ればあながちスレチでもない。
そもそもHSTSの期間内ならHTTPリクエストは送られないよ。 hstsに従うかどうかはブラウザによる
hstsが聞くときはアクセスしたことがあるとき
証明書のスレッドであってhttps?の話は違うんじゃないかな Let's Encryptのスレであって、プロトコルに関する浅い知識の品評会スレではないよ プリフライトリクエストとか最近は事前にチェックするプロトコルいっぱいやしな 常時HTTPSが当たり前になって、
通信は暗号さえされてれば良いと言う流れだよね?
サイトの身分証明みたいな大義名分はもう消える。
違法・詐欺サイトがHTTPS使うだけだし。
何が言いたいかというと、証明書ビジネスはオワコン 通信がmitmされたりサイトが偽物に差し替わってないことの証明にはなる
銀行とか重要なところはEV使うだろうし >45
EVマークとサイトシールを目立たせるようになるだけかと 需要が大幅に減るということだよ。
生き残れる企業は少ないように思う。 フォームが暗号化されてないと客に不安感を与えるから、ぐらいの理由でSSL導入してるだけのところが
Let's Encryptに流れて有料証明書使わなくなると言いたいんじゃね
まあ、DVのくせに高いところは潰れてくれていい
高い金取るならせめてOV以上にしろと
でも現実は、無料証明書では怪しまれますよ、とDVも売るんだろうなぁ 今レンタルサーバーでlet's encryptのSSL使っていてサーバー移転する予定です
移転先サーバーでlet's encryptの証明書をインストールしてたら、ダウンタイムなしで移れますか? DV だからドメイン変わらないなら問題無い。
ダウンタイム云々は移転するタイミングとスケジュール次第。
自分は移転完了したつもりで旧サーバーからコンテンツ削除したら
"ダウンしている" と見える人もいれば移転に気付かない人も要るだろうね。 移転先にDNSが向くまでLEの証明書は作れないのに
ダウンタイムなしとか無理すぎ 普通に作れるだろ
サーバ設定まで全自動しかないと思ってるのかな?
指定されるファイルひとつ指定の場所におけばそれで認証されて、pem 生成されるから
それを好きな場所にコピーしてウェブサーバに読ませるだけやで?
だからSNI対応レンタルサーバであれば、まだ設定前のサーバの管理画面から手動で証明書登録することもできる ありがとうございます
DNS変更前に証明書つくれるなダウンタイムなしでいけるんですね vps契約して使っているのだが、ssl化したいんだが
最も安いのはどこの証明書?
教えけろ >>58
Let's Encrypt を入れたら無料で
SSL化出来るのか? >>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ
価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし >>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ サービス名やプロトコル名と実装してるコマンド名やプログラム名が別物というのはよくある Let's Encrypt で証明書を発行して
1. Web サーバー
2. メールサーバー
3. Pop サーバー
で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。 FTPはFTPSの設定として使えるから間違ってないけど
IPsecは上位レイヤー(トランスポート層ではなくネットワーク層)でSSLではない別の暗号化してくれる方式で
OpenVPNはそれ自体で毎回独自のTLSレイヤーを構成してるから証明書使わなくね? エンドポイント認証用に使える? SSL-VPN ってまともな実装やアプリあるの?
ブラウザVNCクライアントでPC側の証明書として使うのは充分ありかと思う softetherってファイアウォールかけてない443番ポートをHTTPSではない別の用途で悪用する
ファイアウォールを騙すためにopensslと通信を使うってだけで証明書使わなくね?
そして所謂SSL VPSでもなくね? 独自ドメインが何個でも無料で取得可能。
四文字ドメイン、レアドメイン多数。
SSL対応、サーバー、ワードプレスのインストールも無料。
詳しくはこちら https://ryoma.space/ まてよ、ドメインが無料で、SSL対応も無料で、サーバも無料、
そしてワードプレスのインストール(笑)も無料ってこと?
一体どこで儲けてるんだよ。 コンサルティングは有料だろw
全部他社のサービスだしググればいくらでも情報あるのにな ドメインは元々提供している国の宣伝が目的
SSLは寄付と企業からの支援で成り立ってる
ホームページは広告が出る 1サーバーで複数ドメインの運用をしているんだけど、
Let's Encrypt では一つの証明書に複数ドメインを登録出来るのでこりゃ、便利と
使っています。(設定がらくちん)
これのセキュリティリスクってどれくらいのもんなのでしょうか? 他のドメインがバレる
秘密鍵一つが流出したときに全ての通信内容が解読されてしまう >>78
これ、コンサルなのか…(震え声
覗いてみたけどこんなダサい「ホームページ」のコンサルに依頼するくらいなら、
どんなに初心者でもわからないなりに自分で調べてやった方がいいと思った。 IIS鯖がクラッシュしたので古いイメージ取り出して復活させようとしてじたばた
ディレクトリが違ったりして数回失敗したらこれでて終わってしまった。
Too many failed authorizations recently. status:429
どれくらい待てば再受付してくれるですかね?
コマンドは↓
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot 数の制限なんかな?
https://letsencrypt.org/docs/rate-limits/
ここ見ると週20個だな、最初に取得してから1週間でいけるかな >>83 10日くらい開けて再試行したら、今度はあっさりできましたわ ちなみに↓に引っかかったのだと思う。
「We also have a Duplicate Certificate limit of 5 certificates per week. 」 winクライアントはletsencrypt-win-simpleがベター?
他におすすめあれば教えて下さい もうWindowsでサーバ立ててないからワカラン。 NGINXでもApacheでもいいと思うけど、
OSにWindowsってのは考えないなぁ。 >>88
レンタル鯖が対応するまではそれ使って手動で作ってたよ 普通はIISは金かかるし、使わないのだろうけど、20年間こればっかりで変える気が起きず
Win鯖を使い続けている
このままでいかんと思って数年前にCentOSをインストールしてみたが挫折した >>93
CentOSつかいにくいからーな。(※Debianユーザの個人の感想です。)
ADSL全盛期に作ったWin2k上のanhttpd+Pmailserverをマシンごと仮想化して後生大事に使ってたけど、
いいかげんヤバいと思って何年か前にDebian上のNGINX+Postfix/Dovecotに移行したよ。 Nginxじゃあかんのか?xamppじゃあかんのか? NGINXだよ。
apt-getで簡単に一式入るからxmappを使う必要は無い。 >>88
ウェブサーバーのCaddyの内蔵クライアントが便利だった。ユーザーディレクトリ¥.caddyから探せば証明書が取り出せる。 サポートが年末年始休暇なんで教えて下さい。
共用レンタルサーバーロリポップで、
Let’s Encryptが使えます。
元々GMOグローバルサインの証明書もあり、
www.ドメイン.comで登録してます。
ドメイン.comはSSL証明書非対応。
この時、
Let’s Encryptでドメイン.comや
サブ.ドメイン.comを割り当てると、
重なり合って不具合が起きたりするのでしょうか? 起きない
あとこの際せっかく買ってる証明書も運用やめてLEに統一してもいいレベル Could not issue a Let's Encrypt SSL/TLS certificate for MY DOMAIN.
このエラーがでてるのですが、
どうしたら良いですか? 読めた英語がコピペした部分でエラーメッセージは内容理解できない下手にコピペすると身バレしないか何言われるか不安で出せないとかまさに>>103状態かと 雑ですいませんでした。
エラーは下記の通りです。
Plesk使ってて、そのUIからLet’s Encryptを導入しています。
エラー内のリンクを踏むと、
IPv6をDNSで割り当てるとか書いてあるのですが、
自分はIPv6は契約していません。
エラー: Could not issue a Let's Encrypt SSL/TLS certificate for MY-DOMAIN.
The authorization token is not available at https://MY-DOMAIN/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA.
The token file '/var/www/vhosts/MY-DOMAIN/MAINDIRECTORY//.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA' is either unreadable or does not have the read permission.
To resolve the issue, correct the permissions on the token file to make it is possible to download it via the above URL.
See the related Knowledge Base article for details.
Details
Invalid response from https://acme-v01.api.letsencrypt.org/acme/authz/2fqrB0LR3vSBhSuG_9VYiPll7upyqb1xJaP9F6YMvCc.
Details:
Type: urn:acme:error:unauthorized
Status: 403
Detail: Invalid response from http://MY-DOMAIN/MAINDIRECTORY/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA: "<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>" >>108
IPv6は契約して無くてつかえません。 >>109
pleskの仕様を知らんから書いてるんだけど
契約してなかったら自動的にipv6無効にしてくれるの?
自分で調べる気なさそうだしもういいけど >>109
IPv4だけで認証できる
応答403で返してるんだからディレクトリ指定かサーバーの設定が間違ってる可能性が高い
.から始まる名前を一律で弾いてたり お騒がせしました、解決しました。
ウェブサイト内のSSLや証明書に関する設定やディレクティブ、
.well-knownフォルダの削除後、
証明書インストールで使えるようになりました。
突然この症状が出たのですが、
これを防ぐ方法ってあるんですか?
最初の頃はこのエラーがでても、SSL接続でウェブアクセスはできていました。 Let's Encryptの問題と言うより、PleskのLet's Encrypt拡張の問題だろうね
Pleskスレの方がいいんじゃない? ありがとうございます。
PLESK関係を探ってみます。 必死にURL部分を書き換えてたり試行錯誤した内容をの説明で不審な点があるけど
MAINDIRECTORY という部分で大きな勘違いしてただけだろうけどね。
Plesk とかのせいじゃないと思われ ワイルドカード対応証明書はいつ始まるんだ…
テスト版だけでも1月4日に始まるんじゃなかったっけ… >>117
ググって良さそうな画像を見つけたら
その画像のライセンスの扱い見て大丈夫そうな奴を自前のサイトに貼ってるわー ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
―――――――― ttps://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
ワイルドカード証明書発行開始が延期されたらしいね。
いつまで待てばよいのやら。。 使ってる基礎技術の仕様変更への対応のために想像以上に人が割かれていて品質チェックがまだ不充分という理由って書いてあるから間接的にはそう letencrypt.logを見るとこんなエラーになってしまい、新規取得ができないんだけどどうすればいいの?
certbotのバージョンは0.21.1(pip installで入れた最新)
2018-03-02 11:47:01,088:DEBUG:urllib3.connectionpool:https://acme-v01.api.letsen
crypt.org:443 "HEAD /acme/new-reg HTTP/1.1" 405 0
2018-03-02 11:47:01,088:DEBUG:acme.client:Received response:
HTTP 405
Server: nginx
Content-Type: application/problem+json
Content-Length: 91
Allow: POST
Replay-Nonce: 5gByegzjaxNoI_zmhLonjjca_p88KsDH-SH-2RepCqA
Expires: Fri, 02 Mar 2018 11:47:01 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 11:47:01 GMT
Connection: keep-alive >>126
405 エラーはいてんだからサーバー側でキチンと設定してあげなよ ターミナル上では
An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Read timed out. (read timeout=45)
って出てるので、acme-v01.api.letsencrypt.orgにアクセスできないっぽいけど、
$ curl -I https://acme-v01.api.letsencrypt.org
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html
Content-Length: 2174
Last-Modified: Fri, 02 Feb 2018 23:46:37 GMT
ETag: "5a74f85d-87e"
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Accept-Ranges: bytes
Expires: Fri, 02 Mar 2018 12:22:05 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 12:22:05 GMT
Connection: keep-alive
となるけどなあ・・・ ACMEv2とTXTレコードの設定でいけるのか。朗報 見つかるのは--manualで作成する方法ばかりだが、
それの自動更新の方法がどこも説明されてないな コピペされてるだけか? >>136
これじゃいかんのか?
sudo certbot -a dns-cloudflare -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory お尋ねします、証明書を手に入れるときに入力したメールアドレスは、取得した証明書に身分を示す情報として書かれてしまいますか
そしたら捨てアドを作らないといけない...
教えてください 入力したメアドってのはアカウントのコンタクト用でしょ。捨てアド入れてどうすんの。 ああよかった
作った証明書にメアドが載ってるのかと思いました...ありがとうございます 気になるなら
openssl x509 -in cert.pem -text
して自分で確認。 アスカレンタルサーバー終了とサーバー移行のお願い
長きに渡りご愛顧いただきましたアスカレンタルサーバーですが、
誠に残念ながら 2018年10月31日を持ちましてサービスを終了する運びとなりました。
http://asuka.jp >>143
そうですか
アスカレンタルサーバ? なんて聞いたこともないのでどうでもいいです
すれ違いな書き込みやめてくださいね
だれ一人そんな書き込み求めていないんで >>145
確かに言い過ぎでしたね><
ごめんなさいm(__)m letsencrypt.exe だけど、以前は80ポートもその鯖に通さないとだめだったと記憶しているが、
今日やったら 443だけでokになってた。 前からだった?? 更新の時に80開けるのめんどくせーなって思ったからダメだったのでは?
俺が使ってたやつはwin-simpleとか付いてた気がする ワイルドカードいいな
バーチャルサーバ作るのが楽になった TCPセッション後のTLSセッションでClient HelloにはいってるSNIはどこから引っ張ってきてるんですか?
サーバー証明書インストールされる前のクライアントが、サーバー名なんて知る由もないと思うんですが >>150
SNI の基礎から勉強しなおしてくださいね
結論言いますと、SNI 対応のブラウザ(10年前のブラウザとかじゃないかぎり基本対応)だとですね
FQDN の subdomain.example.com みたいなのが平文で送信されるんですよ
で、それに合わせた証明書をサーバが送るわけです
え、プライバシーの侵害だって?
それはそうなんですが、IPv4のIPアドレスの枯渇があるんで1証明書=1IPアドレスだとhttpsが普及しないからそっちの方が問題、
どうせ今主流のDNSはFQDNが平文で送られるんだからホスト名を平文で送るのは今のところたいしてリスク増えないんだしやむを得ないのでは?
ということでまぁSNI導入賛成派の論理がとりあえず受け入れられてそういう規格・実装になったわけですよ
無論、ホスト名だけでもプライバシー上の問題がありますから、DNSの通信の暗号化も含めて今後は改善されていくとは思いますが時間がかかりますね 少なくとも最初のclient helloに入ってるSNIは、ブラウザに入れられたhttpsアドレスのFQDNと理解していいですか? 私が知りたかったのは、そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、httpsサイトのFQDNとイコールならそれでよくて、もし違うならどっからその値持ってきてんのかっていう質問です。 イコールですよ。
https://tools.ietf.org/html/rfc6066#section-3
Currently, the only server names supported are DNS hostnames; >>154
> そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、
知り得たも何も、例えばユーザーがブラウザのアドレスバーにURLを入れてアクセスした場合、
そのURLに含まれるFQDNがそのまま使われます
リンククリックならa要素のhref属性に含まれるFQDNね
サーバのIPアドレスはDNSで調べた結果が用いられ、そのIPアドレスへFQDNがそのまま送られる、以上 150はSNIにFQDNの値がそのまま使われてると思ってなくて、じゃあSNIの値はどこを参照してるのか?と質問した。答えはFQDNとSNIは同じ値。150は納得して巣に帰った。以上。 postfix でワイルドカード証明書利用するとワーニング出ませんか?
マルチドメイン証明書なら大丈夫みたいなんですが。 もうすぐ初めての自動更新の季節だが、本当に自動で更新してくれるのか不安 >>163
使い勝手か何か変わった?
手動ではまったく弄ってないから気付いてない オプションがかなり増えてる
状態の確認、削除や無効化の手間(以前は個別に手作業)の削減やら、
証明書の上書き変更やら、プラグイン頼りだった認証方法やオプションの導入
取得コマンドと更新コマンドcronに仕込む以外必要ない人には無縁の世界 色んなOS色んな言語で同じ機能のツール作られてるから好きなの使え Windows用の更新ソフトはどれがいいのでしょう? アドレスバーを緑にするやつ以外無意味。letsで十分 確実にどんな人でも可能な在宅ワーク儲かる方法
念のためにのせておきます
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
6F5IW >>172
個人サイトならLet'sで十分だよな
ところで、某レンタルサーバーで設定したんだが、本当に自動更新されるんだろうか
そろそろ時期なんだが ブラウザで証明書情報を見られるから日付が延長されてるか確認すればいい
二ヶ月くらいで更新されるからもうすぐ期限の3か月というのであれば、既にさし替わってるかも >>175
どうも
今見てみたら、期限7月になってた
今年になってから取得したから、どうやら無事に更新されてる模様
ところで、よく分からないが見てみたらTLS1.2か
確か、1.0が廃止になったんだっけ 世の中みんなyumベースのばっかで、
ソースから入れてる自分には難しかったけど、
ようやくできたわ。
.well_known/acme何とかってディレクトリを予め用意するなんて、
あんまり書かれてなくない? ソースから入れてるんだったらソース読めばわかるだろうに 普通にgitリポジトリから引っ張ってきてやってたけど.well-known/acme-challengeの説明は書いてあるぞ。
Apacheやnginxのモジュールで入れるやつは使ったことない ドキュメントにも一応書かれてる。
Webroot プラグインは ${webroot-path}/.well-known/acme-challenge に一時ファイル(ワンタイムトークン)を作成し…
自分のやり方の何かが違うんだろうけど、
root権限でもここを作ってくれなかったからはまったんだろうな。
理由は調べてない… DDNS提供者のサブドメインを使う形式の場合、
発行数が多すぎてLet's Encryptから蹴られる場合や
DDNS提供者がCAAレコードで禁止している場合がある 自分のドメインじゃなくて他人のドメインをレンタルして発行ってことか
DDNSでまとめるのは如何なものかと 世界共通の*.*で期限なしとか作ってくれよもう…
何か問題ある? 成りすましできて復号もできるじゃん
意味ないじゃん 亀レスだが、DDNSでも独自ドメイン取ってCloudflareなりMyDNSなり使えばなんとかなりそう
独自ドメインは.tkとかがタダで取れるし今試してるところ あと>>178-180でソースインストール叩かれてるけど、ラズパイ版CentOS7のEPELにはCertbot1.9しかなくて辛い
駄文失礼 別に叩かれてはなくね?
選択肢があるならわざわざ難しい方法を選ばなくてもいいってだけで ソース読めないんだったらソースインストール必要ないわな IISで運用してる自鯖の証明書更新メモ書き
echo n | letsencrypt.exe --accepttos --manualhost xxxx.com --webroot D:\wwwroot\xxxx.com
webrootフォルダの権限設定をして、上を実行すると証明書のインストール(差換え)まで
終わっている。そのあとサイト バインドで新しい証明書をあてがうところがまだ手動だから、
これを手でやるが、スクリプトが書ければスケジューらで自動化できるのかな ようやくCentOS5を捨てて、VPSのOSをリニューアルした。
Python3神だわ…
更新の自動化すんごい助かる。
cronで週に一度コマンド叩くだけで、
全部の証明書を更新してくれる(予定)
毎週、まだ更新日じゃないよってcronメールも来るから安心できる。 今さらで悪いんだけど更新タイミングってどうしてます?
週1回確認で1ヶ月切ってたら更新にしてるんだけどちょい心配
毎週強制更新とかしてる人いる? それやると逆にBANされそうじゃん。
そのうち更新されると信じて放置してるよ。
3ヶ月後が楽しみだな(笑) やっぱりそうだよね
おとなしく今のままにしときますw 3ヶ月という短期間の有効期限は何のため?
無駄な発行済をすぐに切るためなのかな? ■ 中国スパイ、アメリカで日本叩き運動を先導
http://jbpress.ismedia.jp/articles/-/53848
8月6日、「デイリー・コーラー」が、「ファインスタイン議員の補佐官でスパイを行っていたのは、
中国系米国人のラッセル・ロウという人物だ」と断定する報道を流した。
ロウ氏は長年、ファインスタイン議員のカリフォルニア事務所の所長を務めていたという。
デイリー・コーラー誌は、ロウ氏が中国政府の国家安全部にいつどのように徴募されたかを報じた。
ロウ氏は、サンフランシスコの中国総領事館を通じて、長年にわたって同安全部に情報を流していたという。
ファインスタイン事務所もFBIもこの報道を否定せず、
一般のメディアも「ロウ氏こそが中国諜報部の協力者、あるいはスパイだ」と一斉に報じた。
主要新聞なども司法当局の確認をとりながら、ロウ氏のスパイ活動を詳しく報道した。
■ 米国に工作員を投入する中国当局
今回、米国において慰安婦問題で日本を糾弾する人物が、実は中国のスパイだったことが明らかになった。
つまり、中国当局が米国に工作員を投入して政治操作を続けている実態があるということだ。
長年、米国議会の意向を反映するような形で慰安婦問題を追及してきたロウ氏が
実は中国政府のスパイだったという事実は、この中国の役割を証明したといえる」と解説していた。 WoSignというのがあってだな。いや、あった、か。 別に無料証明書なんかどこが作ろうが関係ない
しょせんグーグル先生向けにhttpsつけるためだけなんだし
グーグルが発行してもいいくらい Googleは自社で証明書発行してる
そんな事すらわからないのにこのスレに居るの? >>210
落ち着けよ
「Googleは自社で証明書発行してる」ことの知識と
GoogleがLEみたいなサービスを提供してもいいだろうという主張は
何ら矛盾しない 脊髄反射するバカが多いスレだな
Googleがhttps要求しなかったら誰もやってないだろ しかし、これは神サービスだよな。
常時化の話がなかったとしても普通はこれ使う。 クライアントにEVの方を導入させやすくなったメリット HTTP/2とか実際どのぐらい効果あるんだろうな。
大規模サイトですごいアクセスを捌くなら、
nginxと組み合わせて効果ありそうだが…
ショボいサイトでやっても意識高い系になるだけな気がするw KeepAliveすら切ってるしな
普通のwebサイトじゃ鯖代のが重要だろ 逆に、小規模サイトだからソケット使い果たすこともないし、
Timeoutは1秒にして、
KeepAliveはOnにしてるわ。
でも最近は回線もクライアントも高性能すぎて
KeepAliveの恩恵も薄そうだなw スマホだと結構回線が遅いから重要
30個くらいのファイルを取得するページで設定変えてみると実際に体感できる
どのサービスか忘れたけど最近のhttpsにするのは当たり前という状況でhttpsに変えて鯖代が増えたがHTTP/2にして抑えられたという話は聞いたな スマホのためならkeep-aliveとdeflateでも良さそうだな。 brは結構すごい感じ
BOTさんにも早く対応してほしい
というか、httpでも対応してほしいが
http2は双方向必要なアプリでしか使い道ないと思う brotli
gzより2割程度サイズ減るよ
なぜかhttps専用 無料DDNSと組み合わせで使うと不人気ドメイン選ばないと更新できない可能性あるから悩むよな >>227
DDNSで発行してもらったことないからわからんが、
人気のある(知名度が高い)ドメインでやると
拒否される可能性があるってことじゃない?
根本的にDDNSは発行されないことになってて、
DDNSだとバレると更新されないとか。 DDNSで困るのは更新じゃなくて新規取得じゃないの? いや、だから、後からバレると更新できなくなるってことかなと。
知らんよ。エスパーしてみただけだし。 The main limit is Certificates per Registered Domain, (50 per week).
A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com.
In new.blog.example.co.uk, the registered domain is example.co.uk.
We use the Public Suffix List to calculate the registered domain. と言うのは冗談で、そういう決まりがあったんだ。
無料だし、まあ仕方ないやね。 新規取得 (Certificates per Registered Domain) 週50
更新は取得に含まれない (Renewal Exemption)
ttps://letsencrypt.org/docs/rate-limits/ 自分のChromeのAccept-Encoding見たら、
gzip, deflate, brってなってた。
いつの間に追加されたんだろう。 >>236
sn追加で怒られたことないしそうだわな brはmod_rewriteで使ってるが
拡張子がmod_mimeと競合するからブラジル人を排除する必要がある apache 2.4に標準でbrが組み込まれるなら、
deflateはお役御免かもな。 ちっ、プラグイン…
Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The requested uto plugin does not appear to be installed
Attempting to renew cert (www.example.jp) from /etc/letsencrypt/renewal/www.example.jp.conf produced an unexpected error: The requested uto plugin does not appear to be installed. Skipping.
All renewal attempts failed. The following certs could not be renewed:
??/etc/letsencrypt/live/www.example.jp/fullchain.pem (failure) おっすw
初心者が片手間でやってりゃこんなもんですよ。
そこから学んでいくのです。 雑魚報告だよ。
そのうち自分で対応するから、対応できたらまた方法を書くの。
誰かの役に立つかもしれない… 思ったが、ブログにでも描いてろクソと言われても仕方ないな。
SNSとか一切やってないんだよね。
ここが唯一です。 ブログでも良いしQiitaとか自分のギッハブの個人プロジェクトにイシュー作ってメモ書きでも良いから書いとくと自分の知見が溜まるぞ。 ポート80や443以外で更新できないもんかね
止めなきゃいけないのがイヤ いやいやstabdaloneで動かす必要ないだろって話 レジストラのDNSでNS設定できるとこ少ないけど
LE化でNSレコード設定できないと困るようになったよな >>254
certonly使えばいいのよ
sudo certbot certonly -n --agree-tos --webroot -w ドキュメントルート -m メアド -d ドメイン
NginxでもApacheでも、バーチャルホストとドキュメントルート一致させとけば
certbotが勝手にドキュメントルート/.well-known以下にファイル作ってDVしてくれる certonlyでやって、任意のパス/.well-known/acme-challenge 以降に書き込み権限与えてドキュメントルートの/.well-known/acme-challengeへの接続だけそっちに向けてれば楽。 certonly --manual 使えば配置するファイルの名前と中身が指定されるから、
それを任意の方法で指定場所にファイル置いてから継続実行するだけで作成することも可 証明書って更新する必要ある?
暗号化されてるから俺はそのままでいい フルネームで自分の名前を出すの嫌だし、
正規の認証局の名前がないってダサダサ
わっかんないかなあ? 自己署名したCAから証明書配ってるやつ居るらしいっすよ >>263
ブラウザで危険!ってでても気にしない人しか使わなければいいんじゃね OpenCAとかそんな感じの名前の団体が無料で証明書発行してた記憶がある
Let's encryptのはしりみたいな感じ
ブラウザにその団体のCA登録しないとオレオレになるけど IPsecでも何でも使えばいいだろうよ
そんな事やってられないからこのレイヤーで暗号化してるんだ 「ぼくのかんがえたさいきょうのあんごう」
これ使えば安全だぞサポートしてるブラウザなんか存在しないけどな >>263
一度もした事ないけど
ちゃんと自動更新されてる レッツエンクリプトのプランドを一度取得したんだから、
失効のリスクを抱えてまで更新する必要はない。 >>287
Let's Encryptの証明書は発行から90日後が有効期限ですけど 有効期限なんかどうでも良くね?
ブランドはいつまでも価値あるもの
今でもフェラーリの古いやつに乗ってる人いるだろ フェラーリだって2年ごとに車検受けないと公道で乗れないだろ >>289
でも自動更新される
ん?
自動更新されるのはレン鯖のサービスで? >>294
更新の自動化は鯖側でやるものだから、共有レン鯖ならその業者がサービスとして設定していますね >>298
金儲ける機会の向上
検索順位優遇・HTTP/2速度向上・セキュリティ向上・それによる広告収入アップなどいいことだらけ
おあそびやおままごとじゃなければとっくに常時SSL
化してる ×SSLは有害
○SSL化するスキルがないお子ちゃま SSLが有害なのは合ってる。
TLS 1.2以上じゃないとね。 >>303
常時SSLってワードにTLSが含まれないっていう細かい揚げ足とり厨かな?
SSLをTLSに言い直すかって議論はもう結論出てるんだが? 会話(かいわ、英: conversation)とは、2人もしくはそれ以上の主体が、主として言語の発声・手話・ジェスチャーなどによる意思表示によって共通の話題をやりとりするコミュニケーションや、あるいは話をする行為全般(内容・様式など)のこと。
ウィキペディアより みなさん、今までお付き合いいただきありがとうございました。
9月も終わりましたので私のマジキチ書き込みは終わります。 みんさん1週間よく耐えましたね。
これが最後の書き込みです。
お世話になりました。 >>246 です。
とりあえず今回は手動で更新して済ませたんですが、今後のために教えてください。
CentOS 6
Apache 2.2
Python 2.7
※すべてそろそろ入れ替えないとと思ってます。
プラグインって結局なんなんだ?と少しググりましたが、
Apache 2.4系じゃないと使えないんですかね?
今回の質問は…
コマンドで更新する際に質問が来てしまって、2とEnterを押さないといけないのを自動化できないかというものです。
certbot-auto certonly --standalone -d www.example.jp
これを実行すると下記の質問が来ます。
What would you like to do?
-------------------------------------------------------------------------------
1: Keep the existing certificate for now
2: Renew & replace the cert (limit ~5 per 7 days)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
httpdが多少止まるのは全然問題なし。
よろしくお願いします。 >>324
すでに証明書発行済みなのに新規発行しようとしてるから、既存証明書を残すか強制更新するか聞かれてるわけ
新規発行は--standaloneじゃなく--webrootでやればApache動かしたままできるし
更新はcertbot renew --post-hook "/etc/init.d/httpd reload"でやんなさい >>325
少しは進みました(笑)
>>326 >>327
renewやpost-hookは真っ先にやりましたよ…
でも色々とやってみた結果なんで…(汗)
renewが何をやってもプラグインエラーから変わらず。
ログを見ても同じような事しか書いてない。
Apache 2.4のrpm版にしたら解決するのかもしれない?
プラグインの具体的な意味をまだ把握していないんですが、
ネットに書いてあるcertbot-python-apacheみたいなrpmは色んなyumリポを探したけどなかったです。
色々な名前でも検索した。 >>248
こんな状況ですんで…
いじってる時間ないんですよ。
でもVPSじゃないと困ることが多々あるのでレンサバにしてないんです。 次のSSL更新が来年なので、CentOS7の入れ替えを年末年始にでもやります。
ご指摘ありがとうございました!
あっ、ふとさらなる迷宮作戦を思い付きました。
どうしてもダメなら懐かしのexpectを使って2を入力するようにしてみます(苦笑) 無料だとこんなのも相手にしなきゃいけないんだな
サポートしてる人も可哀想だ 本当に死ねばいいのにな
VPSとかどうせ侵入されて情報ダダ漏れだろ そんなやつの情報はどうでもいいが感染して他人に迷惑かけるからな うちの部署にメッセージ読まない検索しないマニュアル読まないで動かないとか文句いって質問してくるやつがいる >>339
作業依頼のメールに手順を書いてログインIDやパスワードを添えてあっても
やり方教えてください、ログインIDわかりません、パスワード教えてくださいと毎度問い合わせが来る >>332 です。
初心者の勉強用の非公開サーバーなので何を言われても良いんですが、これだけ。
・自宅固定IP以外はiptablesや他のアクセス制限を組み合わせて全サービス接続できないようにしています。
・DNS、NTP問い合わせもサーバー屋さんのだけにiptablesで制限しています。
・TCP 80, 443だけはconfのアクセス制限で自宅IPと*.letsencrypt.orgだけ許可しています。
・不要なサービスはすべて停止しています。
・bindするアドレスは極力127.0.0.1を心掛けています。
CentOS7に入れ替える時には、どこかのサイトやマニュアル通りの手順通りにやってみます。
自宅サーバーは物理面の保守が嫌なので勘弁してください。 >>341
何言われてもいいなら言い訳長文レスしないはず
文句言われて悔しいから反射的に書き込み反論我慢できない
技術も精神も子どもなんだろう >>341 です。
これから全力で荒らしますので、よろしくお願いいたします。 >>328
だからー根本的にstandaloneじゃなくwebroot使いなさいっていうの
renewの動作は最初の発行時を引き継ぐんだから つーか、このスレの最初から見てても意地悪と変な質問ぐらいしかねーよ
今後はID、ワッチョイつけれ >>346
書き方特徴あるから他のスレで書いたレスもよくわかる
他のスレではマジメで笑う 無料系サービスにはたちが悪いのが次々とたかるというだけ
そこが他のスレとの違い 荒らし野郎と断定するのは微妙じゃね?
便乗するやつも多いからワッチョイあるといいんだよ。 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 PLESKでLet’s Encrypt使ってます。
どこにも.well-knownディレクトリがありません。
いつの間にかなくなってました。
この状態で証明書は更新でき証明書が有効の状態です。
これって時間がたつと証明書が無効になったり、
更新できなくなったりするのでしょうか? >>361
更新時しか必要ないので、更新完了したら自動的に削除されるようにしてるんじゃないですか 証明書が変になってしまいました。
現在ドメイン・サブドメインで4つ使ってます。
aaa.com
sub-a.aaa.com
sub-b.aaa.com
この時sub-b.aaa.comにb.aaa.com証明書を割り当てると、
aaa.comとなりブラウザでアクセスすると「なりすましの可能性がある」と、
証明書が無効のようになっています。
証明書はsub-b.aaa.comで作っていますが、
どうすればこのサブドメインで証明書を作れる/認識できるでしょうか? 取り敢えず openssl コマンド叩いて証明書の中身確認してみそ。
あとそのドメインは実在してるけどあなたの管理してるところ? 問題になりたくなきゃ適当なドメインじゃなくてexample.comとか使えと。 web鯖再起動されてないんじゃ?
ワイルドカードは使わないの? httpdならgraceful
nginxならreload 2年ぐらい複数の鯖で使ってるけど
実は自動更新に成功したことがない、俺の技術力の低さ
一応エンジニアなんだけど certbot なりクライアントが作った root 直下 .well-known 以下にある認証用かなんかのファイルを
80/tcp 叩いて http で 200 が出りゃ良いだけなんだから順を追ってどこでしくってるか見なおすだけではと思ってみるよ。 名前解決遅いクソドメイン使って更新したらずっとタイムアウトで失敗した
少しだけ早くなったときにやっと成功した
こんな例もある そもそもログが出ていなくてどこでしくじってるのか、実行されてるのかすらわからない
cronは普通に動いてるから実行されないとしても理由わからないし >>376
TLDの話?DNS変えれば良いだけの話? >>374
自分でcertbot renew実行したら更新されるの? 更新するのにcertonlyする奴>>324もいるし、世の中いろんな人がいるもんですな >>379
される
実行されてないのかなやっぱり、でも原因がわからない 実行はされてるぽいな、結果をメールするよう仕込んだら失敗したメールが来た
しかし一緒に出力させてるはずのログが空っぽで、原因がわからん
しつこく追っていくしかないか…ただその時間が取れなくて毎回手動更新して誤魔化してる 自動更新されるんだけど、IISに自動的にバインドされない…設定間違えてるのかなぁ 自動更新失敗の件、どうやら自動実行時だけscl enable python27がうまく行かないっぽい
ぐぐると色々対処方が出て来るがどれも微妙に違ってて、どれもうちの環境では失敗する メインとサブドメインで3つのサイトを運営しているとして、
Let's Encryptの証明書を作ると、
+----+-------------------------------------+--------+------------------------+
| id | name | rep_id | name |
+----+-------------------------------------+--------+------------------------+
| 20 | Lets Encrypt EXAMPLE.COM | 4 | EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
+----+-------------------------------------+--------+------------------------+
こんな感じにすべてが重複されてしまっている状態です。
上の例で「ID 20」でhttps接続したい場合は、
BBBとCCCを含むEXAMPLE.COMですべてのサイトでexample.comの証明書を割り当てないとできません。
BBB.EXAMPLE.COMでBBB.EXAMPLE.COMの証明書を割り当てると、
EXAMPLE.COMの証明書だからとなりすまし警告が来ます。
つまりどれか一つのサイトでしかHTTPS接続ができません。
BBBでhttps接続したい場合は、BBB.EXAMPLE.COMに合わせます。
これらの設定のリセット方法ってありますか?
もしくは上記の重複分を個別に削除していく方法ってありますか? 想定した証明書が使われてないのは、そもサーバーの設定の問題だと思うが。
重複してる部分は個別にrevokeしていけば良い certbot なら -d のオプションを4つ並べて1枚の証明書を作るって共用とするか、
ウェブサーバの VirtualHost 毎に正しい証明書とプライベート鍵の組を設定する、
がんばれ Sex Sitai Lady つまり淫乱女って意味 先月更新して2月まで期限があるのにもうすぐ切れるよってcertificate expiration noticeメールが来た。
これって何かおかしい?気にしなくていいの? この説明でなにか伝わると思ってるんだろうか
思ってるんだろうな… 更新時にSAN追加したとかで新規証明書になったって落ちじゃね エリクソンもLet's Encrypt使ってれば自動更新だったろうに エリクソンは実際は違うだろうけど最初に思い浮かんだのは
Let’s Encryptの更新だったな >>324 です。
結論から言うと、CentOS6のまま自動更新できるようになりました。
環境が汚かったのが原因だったようです。
無駄なrpmは削除、
/optを一度全部削除する。
Pythonはデフォルトの2.6.6に戻す。
certbot-autoの最新を落として来て実行して、
/optにPython3.4の環境を自動で使ってもらいました。
Apacheは関係ないかもですが、
最新の2.4をソースからインストールしました。
最後に certbot-auto renew を実行したら、/etcのデータを見てくれて、
すべての証明書が行進されました。
良かったです。
ネットの情報はほとんど見ないで、ドキュメントや
自分の理解でやった方が結果的に早かったです。 そして次の更新時に >324 と同じ症状が出たので教えてください と繰り返すのを幻視 なるほど!
でもrenewだから出ないですね…
今度はVPSが爆発したりするかもしれません。
よろしくお願いいたします。 >ネットの情報はほとんど見ないで、ドキュメントや
>自分の理解でやった方が結果的に早かったです。
この文章を巨大文字で印刷してモニターに貼り付けとけ
もうこのスレには来るなよ はい。卒業できそうです。
ありがとつございました。 ドキュメントを見てやることと自分の勘でやることはとんでもない違いがあるけど 去年の5月だかに発生したバグにぶち当たると謎挙動なるから
とりあえず聞いてみる(エラーメッセージや実行したコマンドは公開できない!)のは
公式サイトの障害情報や、アップデート時のバグを負えない人だと仕方ないとも言える
キータでみたそれっぽいコマンドをコピペしたけど失敗した
悪さしてそうなファイルを消してリトライしたらおかしくなった
とかの相手はマジで疲れるけど >>406 です。
お前らのその後の態度が気に入らないのでスレを荒らしますね。
大人しくしてますけど本当は超有名企業の研究職です。
この分野には疎いだけでお前らなんかと格が違いますよ。 >>417
ドキュメントも読まずに質問する研究職w ドキュメントも読まずに更新をcertonlyでやる研究職なんて
ちゃんと他の論文読めてるとは思えないね 嵐くんはなりすなされてるだけだろw
マジだったらキチガイすぎる >>417 です。
本気ですからね。
こんなサイト潰すのはスクリプトで瞬殺ですよ。 超有名企業だろ。
大企業とは言ってないから超絶ブラックとかだろw
何の研究かなあ?合法な詐欺的手法とか? >>431
スクリプトの読み書きができるなら、なぜPythonスクリプトであるcertbotを読まなかったのだろうか? くだしつにあげてバカにされてそっちでも荒れるだけだろ。 前から予告してずっと探してんだろw
荒らしたいのにスクリプトが見つからないんだよwww
とネタにマジレス >>431 です。
サーバーのIPは抜きました。
もう逃げられませんよ。 栄光の443番のレスをそんなことに使うとは何事じゃ! >>395だけど、前回はあと19日で切れるよってメールだったのが10日経ってあと9日で切れるよってメールがまた来た
何度確認しても期限は2月なんだけど、このまま放っておくとどうなるのか様子見ることにするわ
本当に切れたら笑う…いや笑えない…いややっぱり笑うかも 一度certonlyしたのを無効化せずに削除して、改めて同じホスト名で別のcertonlyした証明書を取り直したと推測 このスレで伝説になった>324といいcertonly万能と考えるシンクロニシティあるのかね >>431 です。
>>453 は夜道に気をつけろよ。 >>455です。
>>454は自分の情弱っぷりに気をつけろよ。 >>454 です。
研究職を舐めない方が身のためと思って教えてあげてるんですよ。
その気になれば、あなたの自宅をスカラー波や低周波で狙い撃ちして、
病気にすることもできるんです。 >>454 です。
研究職というのも本当は違います。
アメリカの秘密組織のエージェントです。
これ以上書くと私が消されるので書きませんが。
まあ気をつけなさい。 >>460
OS のパッケージから certbot 入れたら、自動更新もついでにしてくれるよう
設定がされるよ 週1くらいの頻度で定型の更新コマンドcronされるだけだしな >>460
自分の環境晒せばここにいる人が親切に教えてくれるよ
ただし前に荒らしてたやつなら話は別だぞ certbot-auto renew コマンドを実行
1. 取得済みの証明書を継続して使う状態なら何も起こらない
2. ドメイン所有確認(プラグイン含む)からサーバ設定まで自動のものは取得時と同じような処理が自動で行われて更新も終わる
3. ドメイン所有確認に手動の設定が必要な操作を行った場合は、ドメイン選択が表示されたり、何をしろという対話形式に進む
自動系のツールは更新コマンドを実行すれば自動で終わる
手動系のツールは更新が必要な期間に入ってたら、取得時とほぼ同じ手順を繰り返すウィザードへ進む Let's Encrypt 開始当初は証明書の期限チェックしてから更新処理走らせるスクリプト書いてやってたなーと
なんか懐かしくなった。 >>84 2017年8月 週20
>>236 2018年9月 週50
初期は回数制限もかかってなくて、
おそらく毎日バッチで新規取得するアホが現れたんだろうが
リミット設定される度に発狂してクレーム書き散らすアホが出てきてたな >>465
ありがとうございます。
>>406です。
早く教えてください。早く。 > 自分の環境晒せば
この部分が読めない文盲がいるみたいですね。 このスレ(板)のバカはすぐ釣れるから面白い
スルー耐性低いなあ 406は解決してるじゃん
また壊したの?
もしかして: 無能 研究所ともなるとスパコンが数万台もあるから更新が大変なのよねー >>469
>ただし前に荒らしてたやつなら話は別だぞ
ここ読めない文盲かな?
>>480
働いたことなさそうなお手本のレスありがとうございます 数万台も稼働させながら専任者がこのレベルとかあり得ないw 有効期間10年のものを全台で使い回し
インストーラはマネージメントのコマンドで一括
できるのを3か月毎に全台別々にやるの?
すごいね >>484
今年から最長825日になったのご存じないですか
まあ、1台でワイルドカード取ってrsyncか何かで配れば済む話ですよね
個別にやっていたら、LEは新規証明書発行がドメインあたり最大週50など制限がありますので
数万台に発行するには10年以上かかるわけでw だから困ってるんだよ。馬鹿だなあ…
買って来て終わりじゃ業者にやらせりゃいいだろ 更新したい以前に発行すら終わってないだろ。馬鹿だなあ… レッツエンクリプトの暗号は無料だけあって弱い
パケット覗いてれば丸見えちゃん ダンプすりゃバイナリは見られるんですが
丸見えちゃん() 本気でセキュアにしたいわけじゃなくて
グーグル様がhttpsにしろというからやってるだけ >>490
ComodoもDigiCertもGlobalSignもセコムトラストもみんな
Let's Encryptの標準で発行されるのと同じ
RSA 2048bit、sha256ハッシュ、sha256RSA署名ですけど? そもそも証明書は証明書であって、通信の暗号化はサーバとブラウザの間で取り決めしてやってるんだけどな
(オレオレ証明書なんかが「存在証明取れない」アラート出るだけで通信は有効なわけで)
証明書は偽造防止の段でしか使われてない 通信内容の暗号化に公開鍵暗号方式であるRSAは使わない それも使えないわけじゃなくて 「暗号化復号化にかかる計算量が多い」 から
他のコスト低いアルゴリズム使うってだけやしな
事前の取り決め無しで安全にデータを送るという用途では伝統的にRSA一択やけど >>498>>501
でもお前更新処理失敗したじゃん ハア? 誰と勘違ししてんだよ ハア? 誰と勘違ししてんだよ ハア? 誰と勘違ししてんだよ サーバーのIPは抜きました。
もう逃げられませんよ。 僕のipアドレスは192.168.1.1です
他の人は勝手にipアドレスを使わないでください それルーターだよ
バカなの?
俺は127.0.0.2使ってる 本物の >>406 です。
自分はただのヘタレ高校生です。
未熟な質問のせいで荒れてしまいましたが、
変な書き込みを続けているのは自分ではありません。
今のところ質問はなくなったので、
しばらくは書き込む事もないと思います。
よろしくお願いいたします。 ○○○が本物であることを確認できませんでした
悪意のあるユーザーによって通信の情報が盗まれる可能性があります >>513
お前ファイヤーウォールを使ってるな
ずるいぞ おい、みんな、俺だよ俺!
俺が本物の研究社の降りしたエージェントだよ。
SSLの更新ができなくて困ってる。 それ俺が信用してなきゃ意味ないじゃん。誰もが信用できるやつが信用する…「お前が欲しい。」 すいません。
証明書を自動更新する方法を具体的に教えてください。
コマンドがわかりません。
CentOS7を使ってます。 すみません。
>>526は偽物が書いたので取り消します。
証明書は自動更新できました。
ありがとうございます。 真面目です。
あなたこそふざけるのをやめてください。
もう自動更新できましたので526は取り消します。 コマンドでやるっていう公式の遣り方が古臭いよ
発行ぐらいオンラインでビーっとやっとくれ
更新はもっとシンプルに、生成されたファイルを落とすだけのコマンドでいいよ ドメイン所有の証明
ウェブサーバに新しいファイルを食わす
をどう自動化させるかだな 無能はレン鯖使えばいいじゃん
ボタン一つで証明書出して設定してくれるぞ そんな判断できるのは無能じゃなく自分がわかってる賢い人
自分は賢いから自分でできると思ってLet'sEncrypt申し込むもここで「コマンドがわかりません。」なんて質問しちゃう人
これが本物の無能だよ やめてやれよw
>>417はもうこのスレにはいない
いいね? find ./ xargs cat > /dev/null 2>&1 ネタだと思って付き合って乗ってみたら本気のことがあるのが困る 更新失敗君は本人が低スキル自認してんだろ
荒らしは成りすましだって言うんだから、そうだと思うよ
普通に考えておかしいしw 年末で中の人がいないのかな?
更新しても手続きしてくれないね ハ,,ハ ハ,,ハ
( ゚ω゚ )゚ω゚ ) お断りします
/ \ \ お断りします
((⊂ ) ノ\つノ\つ))
(_⌒ヽ ⌒ヽ
ヽ ヘ } ヘ }
ε≡Ξ ノノ `Jノ `J 非対応ブラウザに対してエラー無視以外で、こちら側から何かできることってないの?
ユーザーエージェントでSSLなしにリダイレクト設定しても最初に証明書エラーで意味ないし
せめてエラー出る前にhttpで見てくれ的なメッセージ仕込んだりできればええんやけどなあ… SNI対応してないって最早3G以前のガラケーくらいじゃね IE6ユーザーを蔑ろにするの?
Windows XPのシェアを大事にしろよ 色々調べてみたけどSSLやめるか有料のにするかとかしかない感じ? SNI対応してないブラウザなんて公式にサポートされている物であるのか…? >>558
XP系唯一の残党、Windows Embedded POSReady 2009が2019/04/09までサポート
つまりSNI非対応の「XP上のIE8」も一応サポートされてるw
Windows Embedded Standard 2009は一昨昨日でサポ終了だけどね おい、更新エラーになるんだが誰が教えてもらえない?
パイソンのバージョンはどうしたらいい?
CentOS 6 スパコンにインストールした更新でエラーになるんだよ
なんでだろうな ポチッと押すとズラーッといろいろな文字が出てきて最後にエラーって出ます 無能はsslforfree.comやsslbox.jpでも使ってりゃいいんだよ カチャカチャってするとバーってなってズラズラと英語が出る 大きな文字が点いたり消えたりしている。
アハハ、大きい...更新かな。
イヤ、違う、違うな。
更新はもっとバーッて動くもんな。
暑っ苦しいなココ。ん...出られないのかな。
おーい、出し下さいよ...ねぇ。 Cert not yet due for renewal って出る expires on 2019-03-09 (skipped) って出る 2/10 が期限だったものに今日 renew 掛けたらスルっと更新が行われた 普通に考えて30日が正しいだろ
1ヶ月ってのは約の意味だろ 共通設定として certbot のスクリプトにハードコードされてる
renew_before_expiry="30 days"
renew 以下のサイト毎の conf ファイルでこの設定は上書き可能
毎回 force させてるアホはこの設定見直せ アメリカ在住せいか更新エラーになるな…
使えんサービスだわ、ここは >>589
Let’s Encrypt自体アメリカにあるのに、何言ってんだこのアホはw 知らん間にホームディレクトリにあった.well-knownって消していいやつ?
前にlet's encrypt使ってたけど今は有料のにしてる
アクメチャレンジ…?えろいやつ?乗っ取り????とか思って焦ったわ 消していいよ
レッツはバグだらけの欠陥サービスだしな >>593
ドメイン所有権の確認に使われるディレクトリなので、削除しても問題ありませんよ
>>594
バグだらけというなら具体的に指摘できますよね?
もしかして、Let's EncryptのおかげでDV証明書の売上が激減した業者の方かな? 知らん間にって何の理解もしないで使ってることに驚きですよ。 ああ、研究職だけど英語も読めない、でもアメリカ在住って設定の方だったんですかw >>596
レン鯖のかんたんせっていみたいなのでやったから… >>598
研究職は嘘で本当は秘密組織のエージェントだったような 確かにレン鯖のはポチっとするだけで勝手にやってくれちゃうから激楽 最近はポチッとしなくても勝手にやってくれちゃうのも多いよね cPanelレン鯖契約するやろ
DNS変更するやろ
もうSSLできとんねんで メールアドレス登録してから迷惑メールがすごく増えた 少なくとも専用に設定してる(letsencrypt@持ってるドメイン)けど、自分には1通も来てない おれもメールきた
TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**
放置しっぱなしで全然知らんかった Upgrading certbot-auto 0.30.0 to 0.30.2...
Replacing certbot-auto...
Creating virtual environment...
Installing Python packages...
Installation succeeded.
Saving debug log to /var/log/letsencrypt/letsencrypt.log ちょっと今時間ないけど早めにやらなくては…
というメモ書き&自分鼓舞 Let's EncryptのおかげでDV証明書の売上が激減した業者の方ががんばってるんじゃないでしょうか 一昨年の5月だかに一夜だけ発生した障害による取得失敗なら仕方ないにしろ
それ以外で失敗するのは基本オマエのせい以外にないんだよな 8日後から更新できないって騒ぐ人が大量発生するんじゃないかな
いつもの人とは別枠で
certbot更新するか、/.well-known/下はhttpsにリダイレクトしないようにしましょう あれ、".well-known" までリダイレクトさせるような設定方法だったけ?w
うち Nginx だけど次みたく .well-known だけは飛ばさないようにしてるけどねー
server {
listen 80;
server_name hoge.example.com;
root /path/to/docroot;
location /.well-known/acme-challenge/ {
try_files $uri /dev/null =404;
}
location / {
return 301 https://$host$request_uri;
}
} nginxもapacheもプラグインで何もしなくても問題なく取得/更新できてるけど…
と言ってみるテスト 古いcertbot入れたまま、前に証明書とれたからといってhttpアクセス全部httpsにリダイレクトしてると、2/13以降更新できなくなる
(TLS-SNI-01 challengeのEOL)
Apacheでこんなリダイレクト設定してる人ねRedirect permanent / https://example.com/
これに変えなさいって話RedirectMatch permanent ^/((?!\.well-known/).*)$ https://example.com/$1
nginxなら>>628。要するにhttp://example.com/.well-known/acme-challenge/をhttpsにリダイレクトしない(HTTP-01 challengeを使う)
あるいは
・CentOS6等、https://dl.eff.org/certbot-auto をDLして入れた人は、同じ手順でcertbot-autoを更新
・Archの人は、pacman -Syu
・CentOS7でEPELからcertbot入れた人は、yum update
・Debianの人は、Backports入れてcertbotを更新。元々Backports入れてた人はapt update; apt upgrade
・Ubuntuの人は、add-apt-repository ppa:certbot/certbot; apt update; apt upgrade。元々PPAで入れてた人はapt update; apt upgrade
これでTLS-ALPN-01 challenge対応のcertbotになってるから大丈夫だと思われ TLS-SNI001 challengeでの新規取得はとっくにEOLだが、更新はまだTLS-SNI-01 challengeでいいから
更新できてる人が初心者(=利用開始が最近)という根拠にならない
新規取得は大半が既存証明書がない状態からスタートなんで、HTTP-01 challengeで取得し、https開通したからhttp→httpsリダイレクト設定って流れになる お金かけてることに誇りがあるんだろ。証明書に無駄な金かけるくらいなら貧乏な奴に惠む方がかっこいいわ。 サーバーを物理的に移転する場合って、
レッツ関連は/etcと/var/logだけコピーで大丈夫? データセンターの移動だと必要なのは付与されるIPアドレス関連の変更だけじゃね? それもそうだw
でも/etcに全部あるんだから持ってくよ。 説明しても理解できないだろうけど
Let's Encryptがドメイン所有権を確認(domain validation)する方法の一つであるTLS-SNI-01 challengeがEOLになった
新規発行に関してはとっくの昔にEOLだった TLS1.3の拡張を業界がマストに押し上げるしかないだろうね
そうなればあっちは金盾もどきを入れるだろうが >>652
なんで直ぐ上にあるレスすら読まないの
>>630
自分で調べも出来ないのに証明書周りの運用やるって怖いよ >>653
簡単に言うと、証明書の更新方法を
始まったころのやり方から今のcertbotを使った方法に替えなさいって話ですね。 再認証の場合は勝手に変更するわけにもいかず
従来の認証方法が引き継がれてるはずだから、どうなるんだってばよ SNI使ってることが分かってる上で心配なら>>630で更新してからcronの更新コマンドをALPN優先にするとか
certbot-auto renew --preferred-challenges tls-alpn-01
仕組みを理解しないで使ってたあほあほだったのを反省してさっきから調べてるけど海外情報も含めて親切な情報が見つからない
IETFのドラフト読めとか書いてあって泣きそうだから意識高い系セキュリティ専門家()がまとめてくんねーかな 自動的にfallbackしてくれるから安心していい
うちではHTTP-01にfallbackして更新できてる >>662
無駄な心配だとは思うけど80番ポートが使えなくてSNIにしてた可能性もあると思ったんだ
でも今考えるとALPNは仕様が確定してないから、ちゃんと設定してHTTP-01かDNS-01にしたほうがいい気がしてきてる 最初に入力したメアドがわからなくなったんだけどどこで確認できますか?
ぐぐったらregr.json内にあると出るんだけど中身見たら空だった、でも絶対に何かは入力した(しないと通らないはず) コマンドラインで打ってれば、ヴァーログに残ってるんじゃない? certbot 使ってる自分のは regr.json にちゃんと入ってた
ついでに /var/log/letsencrypt/letsencrypt.log (ローテートされた過去ログ含め) (再)認証の度に記録残ってた 大半のメールアドレスにマッチするような表現で grep かましゃ見つかるんでないの。 あの…うちの会社のHPSSL化してないんだけどこれやばい? そういえばふつうに更新されてたな
少し前の脅しなんだったんだろう >>673
普通にHTTP-01にfallbackしてると思われ DocumentRoot がわかるようになってて
勝手にファイルを作ってよいのであれば!
だけど 通信内容見えてもなんら問題ないサイトにSSL使う意味はない 天下のGoogleさまがあらゆるサイトでSSL使えっつってんだからしょうがないだろ 最近のブラウザは、「保護されていない通信」とかなんとか出ちゃうからな
最初見た時、え、なんかヤバいサイトに繋いだっけ?とか思った ここにいる人たちでも、何故SSL使う流れになってる理由分からないで使ってる人がいるのか。 スーパーコンピューターにインストールするのは大変なんだよ わからないことがあるんだけどどこで質問すればいいでしょうか?公式とかあんの? ドキュメント読んで理解するもんだよ。サポートはない。 cloudflare CDN使うと、サーバーIPアドレスが分からない。
分かるなら方法を知りたいです。 同じ鯖にメール機能を収容してるとMXレコードで判ったり
origin server certificateを探したり >>697
>>698
もうちょい詳しく教えてくださいませんか? 恥ずかしい証明書といったら、やっぱりcPanelだな 証明書覗いたら200くらいの関係ないサイトが列挙されてる奴は最強に恥ずかしいな TLS-SNI-01終了のお知らせをご存じなくて更新できてない人がちょくちょくいるね /.well-known/acme-challenge/もhttps://にリダイレクトしちゃってる人だけ引っかかる罠 cronで自動更新してるけど時々503エラーになる。次回成功してるけど何なんだろ 最近はCloudflareも大量のsubjectAltName並ばなくなったね そのうちChromeがこのサイトは無料証明書を使っています!怪しい!って
警告出すようになったりしないかな 金融機関ならともかくブログサイトにいちいち有料証明書求めてどうすんだタコ DV 型の証明書に何を求めてるんだよw
逆に個人ブログが EV 使ってたら何こいつww ってなるだろ?w Comodo DragonはLet's Encryptの証明書だと保護されていませんを出してたけど
ComodoもDV証明書大量に発行してるから、最近改心したね >>717
StartSSLやWoSignでそれっぽいことはあったがね。
結果として、だけど。 むしろ金払って発行した証明書が信頼できる理由がわからん。金出しゃ誰でも取れるんだからさ。 メガバンクなんかも会社証明ないやつ使ってなかったっけ? >>717
有料でもブラウザが警告を出した例はあるぞ。シマンテック 無料と言えばオレオレ証明書使ってるわ。
自作IoT機器にフィンガープリント書いといてチェック。
有効期限を50年とかにしてるから更新忘れて止まることは無い。 鯖の証明書がオレオレで、機器が倉で。
自分が作ったプログラムは、自分で用意した鯖の証明書を、自分で持ち歩いている
拇印で照合したのに、「信頼できません」 てことはないから。 社内イントラや開発LANとかでは、
ここの証明書は使えない?
いや、外部にサーバー立てて、
ファイルレベルでコピーしてくりゃ機能するだろうけど。
そういうときはやはりオレオレ証明書を
ブラウザに食わせるのが普通だよね? 汎用のブラウザで表示するのだと、CAがあぁ ってなるけど、アプリが自前で
間違いないってわかってるなら警告出す必要なんかないからね オレオレ使うにしても認証局と証明書ぜんぶ同一視してんのかな
オレオレな証明書をブラウザにくわしてどうすんだろ。 ワイルドカード証明書で使うDNS認証やら、取得する方法は色々ありますので できないというやつがエラーを貼らないのはなぜなのか。 10年前(2009年)は全面的にSSLとなっているサイトが現在よりかなり少なかったような気がする
もう3年前あたり(2016年あたり)から有名企業・店の公式サイトで全面的にSSLになるサイトが増えてて、もう有名企業・店の公式サイトで全面的にSSLが今では全然珍しくなくなったね
それを考えると常時SSL化されたサイトがその10年間でどれだけ増えたのかが多少なりとも分かるよね 何が言いたいのかよく分からんけど
Google様が常時SSLにしないとインデックスしないよと宣言したから
仕方なく各所でSSL対応しただけだぞ Chrome で危険な状態と表示されるようになったのもキツかっただろうな 子供が親に「ちんちん触ったらおっきくなった!」て言っちゃう感じ >>749
それもだし、やっぱり Let’s Encrypt の功績も大きい。いかに安くても有料の証明書しかなかったらここまで広がらなかったと思う。
# ちな、有料DV証明書最安は、1ドメイン当たり$4/年だったかな。 LEなくても無料のはあったよ。
まぁ証明書の不正発行して使えなくなったんだけど。 無料はWoSignとStartComもやってたが・・・
1. まずWoSignがやらかして排除され
2. その後WoSignがStartComをこっそり買収してたことが発覚
3. しかも両方で不正な証明書発行が発覚
という見事なコンボだったな
CAcertなんてのもあるが、ブラウザベンダに働きかけないからなぁ もうSSLの証明書はGoogleの好きなようにできるようになってしまった
サイト立ち上げて発行すればGoogleのLogサーバーに記録されてURLがバレる
httpsの方が送られる環境変数が多いし、もう陰謀なんじゃないかととか考えてしまうw
httpでなんの問題もないサイトでも「安全ではありません」とかわざわざ出るしな
httpsでも安全でないサイトなんかいくらでもあるだろうに なりすまし対策もあるよ
途中経路なりDNSなりで別のサーバが正規のサーバになりすましても証明書エラーになる
でないとソープの受付電話番号のページを見たつもりでバラク・オバマの携帯に電話かけさせられるかもしれない みんなお金を儲けたいだけだよ
安全性云々よりもグーグル様に順位下げられたくないだけ ffftp でこの証明書使うと前回から2か月たっているとこの証明書でよいか聞いてくる。ffftpは証明者や期間をチェックしないのかな それって2ヶ月で自動更新しててffftpの2ヶ月のタイミングで証明書が変わってるから確認が出てるとかではないの? 届けました
サイバー攻撃の被害にあったのか聞かれました >>778
危険な日とか安全な日があるの?
日程表があったりするのかな ついに無料証明書撤退で有償化
ここは詐欺だなwww >>797-800
こんなのすら設定できないバカの逆ギレ連投レス ここは証明書発行なだけでどのセキュリティ通信方式を採用するかはてめえのサイトだよ デフォルトでRSA2048bitだしパラメタ足すだけでRSA4096bitにできるし
手間だけどECDSAも可 2bitとかものを知らなすぎて草
DV証明書が売れなくなって困る業者多いんだろうね 暗号化しないで443ポート使ってhttpsを名乗れないかな? certbotを使用してnginxにlet's encryptを有効にしたいのですがエラーが出てしまいました。
最初にsudo certbot --nginx -d domain.comでやったときには成功したのですが、
後でサブドメインにも証明書を有効にしたいと思い、
一度sudo certbot revoke --cert-pat=/etc/letsencrypt/live/domain.com/cert.pemとやってしまいました。
それからsudo certbot --nginx -d domain.com -d *.domain.comで全てのサブドメインも一緒に有効化しようと思ったのですが
Error while running nginx -c /etc/nginx/nginx.conf -t.
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/domain.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:
No such file or directory:fopen('/etc/letsencrypt/live/domain.com/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
The nginx plugin is not working; there may be problems with your existing configuration.
The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\n
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/domain.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:
No such file or directory:fopen(\'/etc/letsencrypt/live/domain.com/fullchain.pem\',\'r\')
error:2006D080:BIO routines:BIO_new_file:no such file)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n',)
というエラーで出来なくなっちゃいました。
「/etc/nginx/nginx.conf内にあるlet's encryptのところを削除すればいいのかな」と思ったのですが
それっぽい行が見つからず、どこを修正するのかさっぱりです。
問題の原因と直し方をご教授いただけないでしょうか、、、 -d *.domain.com を
-d "*.domain.com"にせよ
それと次回から example.com 使え >>822
ありがとうございます。
sudo certbot --nginx -d example.com -d "*.example.com"でやってみたのですが、
やはり以下のようなエラーです。。。
Error while running nginx -c /etc/nginx/nginx.conf -t.
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/example.com/fullchain.pem")
failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/example.com/fullchain.pem','r')
error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed ファイルが言われてるところにないんだろ。
そこになければないですね >>824
そうなんです。
そこは分かるのですが、この問題を解消するために一度nginxがletsencrypt関連のファイルを読み込む行を削除しようと思いました。
しかし、>>821のnginx設定ファイルを見てもどこを消せばいいのか分からず・・・
どうやって「無いファイルを読み込もうとする」ことを防げるのでしょうか /etc/nginx/sites-available/example.com内を見たらcertbotが書き込んだ行が見つかりました。
sites-available/example.comは修正したのですが、
sudo certbot --nginx -d example.com -d "*.example.com"をやると
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Obtaining a new certificate
Performing the following challenges:
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
となってしまいます・・・
どうしたらいいのでしょうか --nginxでやらずに--webrootでやった方がいいよ
いちいちnginx止めて更新してnginx再起動するのめんどいべ certbot certonly --agree-tos -n --webroot -w /var/www -m メアド -d ドメイン
/etc/letsencrypt/renewal-hooks/deploy/nginx作る。オーナーrootパーミッション700
中身
#!/bin/sh
/bin/systemctl reload nginx
これで自動運転 sudo certbot --nginx -d example.com -d "*.example.com"で
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
となってしまうのはどうすればいいのでしょう・・・(>>826)
>>827
--nginxでやっても止めずに出来ますよ。
>>828
私はcron.dに自動更新スクリプト入れるつもり
sudo certbot renew --dry-run >>829
書いてあるとおりですね
ワイルドカードはDNS-01チャレンジが必要なので、HTTP-01チャレンジでは発行されません
nginxをreloadしないと新しい証明書が読み込まれませんのでご注意ください
ところで、--dry-runは冗談ですよね? 821は更新できるとこまで行くのに何ヶ月かかるのでそのうちわかるのでは? エンジンエックスに乗り換えたのw
で、またエラーですかおっさんwww >>830
dns-01チャレンジをcertbotでやるにはどうしたらいいんでしょうか・・・
>>838
アパッチ使ったことないです
今回初めて自分のサイトを作ってみようと思ってて・・・ 無料で Lets Encrypt のSSL設定までやってくれるレンタルサーバ使え >>843
それじゃあいつまでたっても分からないと思うので嫌です
誰か>>839に答えられる方はいませんか? >>853
それでよく分からなかったからここに質問しに来ています・・・
ごめんなさい DNS01 チャレンジやりたいなら DNS の理解が必要。
だけどレス見てる限りなんも分かって無さそうだが大丈夫か?w
手取り足取り教えてくれる人なんざどのスレいないからなw 普通にDNSを理解して設定ができました にたどり着けないなら迷惑かけるからマシ
どうで教えて貰って設定できたらそこで学習やめちゃうだろ そもそもこれ自体そんな何も知らない人間を相手にするプロダクトじゃない。
一般化されてるのはこれ使って無料SSL対応!っていってビジネスしてるところ。 >>855
>>856
こいつら自分分かってて>>839の質問には答えられるけど答えてやんない みたいな態度とってるけど
実際は821と同じ素人だから気にしなくていいぞ
「「技術理解してて解決法知ってるけど教えてやんない」みたいなアピールを色々と難癖つけてやってるおっさんだからな >>858
それじゃ代わりに頼むよ >>839 が理解出来るよう、数レスで完結に解説してあげてくれ DNS01でリクエストするとコレを設定しろっていう文字列が送られてくるから指定の通りに設定してレスポンス帰してやると証明書が貰える >>858 みたいな奴ほど何もしないで文句だけ言うタイプで糞役にも立たない人間だからスルーしたほうがええぞ
少しポインタ示してやるとかすりゃいいのに他レスに対して安価とばしてるだけだしな 運よく設定に成功しても「できました」だけ報告だけして、2か月後には「自動更新に失敗しました。どうすればいいか教えて下さい」ってどうせ舞い戻ってくる >>839
DNSに(どこ|なに)を使っているかによって異なるので、一般論はありません
DNSホスティングを使っているなら、DNSプラグインが実装されている場合がありますし、もちろんない場合もあります
自前ならDNSレコードを更新するスクリプトを書いてcertonly --manualです 自分は対応プラグインのないDNS使ってるからコマンドで出て来るコード手打ちで更新して30分くらい浸透(笑)するの待ってから認証通してたりする プラグインなんてそもそもあてにしない。
その方が仕組みも学べる。
少なくともスレで聞かなくてもググるか、コマンド出力結果を読めば分かる。はずなんだが。 821「こいつら自分分かってて>>839の質問には答えられるけど答えてやんない みたいな態度とってるけど(ry」
草 >>868
Wildcard するには自分でDNS更新して証明書貰うスクリプト書かなきゃならんから821にはさらに敷居が高いかと まずいちおういっておくと858さんは私と違います
それでDNS01はDNSのTXTレコードかなんかに設定する必要があるんですかね?
DNSは某海外のところ使ってるんですけど多分いけそうです
更新するときにも全く同じこと(DNSのレコードをいじる)やる必要があるってことでしょうか?
となるとDNSのサイトにログインしたりする処理を自動化するプログラムを適当に書いてcrondに追加でいけますかね
ここまでで間違ってるところがあったら教えてください スクレイピングとかソフトウェア開発的なことは出来るんですがサーバーを自分でちゃんと全て管理運用するっていうのは初めてでして・・・
本当に無知で申し訳ないです
DNSも名前解決するところなんだなーってのをHTTPとかの仕組み的にちょっと知ってる程度でした DNSの反映にかかる時間をどう解決するのかが見ものだ
自動処理フレンドリーなサービスだといいね 迷惑掛けてるつもりでも、マトモなサーバーはminttl設定してるから大したことない Let's EncryptのサーバはDNSをキャッシュしないからTTLは気にしなくていいと思ってたけど違うの? 無料SSL/TLS証明書 Let's Encrypt Part3
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.5ch.net/test/read.cgi/hosting/1508291164/
https://twitter.com/5chan_nel (5ch newer account) Googleも証明書短期間が推奨ですがクソなんですねー。というか期間変更できると思いますが >>905
・初心者と煽りの二者を自演して最低限の労力で答えを引き出そうとしてる質問者
・拙い知識でマウントしあう知ったかぶり
・設定できずLet'sEncryptに親を殺された如く発狂する荒らし
・証明書他業者の妨害
以上の愉快なメンバーでお送りする茶番スレの流れですがなにか? Wikipedia財団はすげえ金回り良いはずなんだよな
毎回うぜえんだよ広告貼れよ >>919
>>908
>・設定できずLet'sEncryptに親を殺された如く発狂する荒らし こいつもうかれこれ半年以上更新できてないんじゃないの? 半年更新できてなくてすむ程度なら、SSL要らないんじゃね 手動で荒らしとか泣けてくるな
こんな過疎スレどうせ検索で入ってくるんだから
流しても意味ないというか… 手動でしか荒らせないから証明書の更新もできないんだよ このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 707日 6時間 28分 4秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。