無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ >>108
IPv6は契約して無くてつかえません。 >>109
pleskの仕様を知らんから書いてるんだけど
契約してなかったら自動的にipv6無効にしてくれるの?
自分で調べる気なさそうだしもういいけど >>109
IPv4だけで認証できる
応答403で返してるんだからディレクトリ指定かサーバーの設定が間違ってる可能性が高い
.から始まる名前を一律で弾いてたり お騒がせしました、解決しました。
ウェブサイト内のSSLや証明書に関する設定やディレクティブ、
.well-knownフォルダの削除後、
証明書インストールで使えるようになりました。
突然この症状が出たのですが、
これを防ぐ方法ってあるんですか?
最初の頃はこのエラーがでても、SSL接続でウェブアクセスはできていました。 Let's Encryptの問題と言うより、PleskのLet's Encrypt拡張の問題だろうね
Pleskスレの方がいいんじゃない? ありがとうございます。
PLESK関係を探ってみます。 必死にURL部分を書き換えてたり試行錯誤した内容をの説明で不審な点があるけど
MAINDIRECTORY という部分で大きな勘違いしてただけだろうけどね。
Plesk とかのせいじゃないと思われ ワイルドカード対応証明書はいつ始まるんだ…
テスト版だけでも1月4日に始まるんじゃなかったっけ… >>117
ググって良さそうな画像を見つけたら
その画像のライセンスの扱い見て大丈夫そうな奴を自前のサイトに貼ってるわー ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
―――――――― ttps://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
ワイルドカード証明書発行開始が延期されたらしいね。
いつまで待てばよいのやら。。 使ってる基礎技術の仕様変更への対応のために想像以上に人が割かれていて品質チェックがまだ不充分という理由って書いてあるから間接的にはそう letencrypt.logを見るとこんなエラーになってしまい、新規取得ができないんだけどどうすればいいの?
certbotのバージョンは0.21.1(pip installで入れた最新)
2018-03-02 11:47:01,088:DEBUG:urllib3.connectionpool:https://acme-v01.api.letsen
crypt.org:443 "HEAD /acme/new-reg HTTP/1.1" 405 0
2018-03-02 11:47:01,088:DEBUG:acme.client:Received response:
HTTP 405
Server: nginx
Content-Type: application/problem+json
Content-Length: 91
Allow: POST
Replay-Nonce: 5gByegzjaxNoI_zmhLonjjca_p88KsDH-SH-2RepCqA
Expires: Fri, 02 Mar 2018 11:47:01 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 11:47:01 GMT
Connection: keep-alive >>126
405 エラーはいてんだからサーバー側でキチンと設定してあげなよ ターミナル上では
An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Read timed out. (read timeout=45)
って出てるので、acme-v01.api.letsencrypt.orgにアクセスできないっぽいけど、
$ curl -I https://acme-v01.api.letsencrypt.org
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html
Content-Length: 2174
Last-Modified: Fri, 02 Feb 2018 23:46:37 GMT
ETag: "5a74f85d-87e"
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Accept-Ranges: bytes
Expires: Fri, 02 Mar 2018 12:22:05 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 12:22:05 GMT
Connection: keep-alive
となるけどなあ・・・ ACMEv2とTXTレコードの設定でいけるのか。朗報 見つかるのは--manualで作成する方法ばかりだが、
それの自動更新の方法がどこも説明されてないな コピペされてるだけか? >>136
これじゃいかんのか?
sudo certbot -a dns-cloudflare -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory お尋ねします、証明書を手に入れるときに入力したメールアドレスは、取得した証明書に身分を示す情報として書かれてしまいますか
そしたら捨てアドを作らないといけない...
教えてください 入力したメアドってのはアカウントのコンタクト用でしょ。捨てアド入れてどうすんの。 ああよかった
作った証明書にメアドが載ってるのかと思いました...ありがとうございます 気になるなら
openssl x509 -in cert.pem -text
して自分で確認。 アスカレンタルサーバー終了とサーバー移行のお願い
長きに渡りご愛顧いただきましたアスカレンタルサーバーですが、
誠に残念ながら 2018年10月31日を持ちましてサービスを終了する運びとなりました。
http://asuka.jp >>143
そうですか
アスカレンタルサーバ? なんて聞いたこともないのでどうでもいいです
すれ違いな書き込みやめてくださいね
だれ一人そんな書き込み求めていないんで >>145
確かに言い過ぎでしたね><
ごめんなさいm(__)m letsencrypt.exe だけど、以前は80ポートもその鯖に通さないとだめだったと記憶しているが、
今日やったら 443だけでokになってた。 前からだった?? 更新の時に80開けるのめんどくせーなって思ったからダメだったのでは?
俺が使ってたやつはwin-simpleとか付いてた気がする ワイルドカードいいな
バーチャルサーバ作るのが楽になった TCPセッション後のTLSセッションでClient HelloにはいってるSNIはどこから引っ張ってきてるんですか?
サーバー証明書インストールされる前のクライアントが、サーバー名なんて知る由もないと思うんですが >>150
SNI の基礎から勉強しなおしてくださいね
結論言いますと、SNI 対応のブラウザ(10年前のブラウザとかじゃないかぎり基本対応)だとですね
FQDN の subdomain.example.com みたいなのが平文で送信されるんですよ
で、それに合わせた証明書をサーバが送るわけです
え、プライバシーの侵害だって?
それはそうなんですが、IPv4のIPアドレスの枯渇があるんで1証明書=1IPアドレスだとhttpsが普及しないからそっちの方が問題、
どうせ今主流のDNSはFQDNが平文で送られるんだからホスト名を平文で送るのは今のところたいしてリスク増えないんだしやむを得ないのでは?
ということでまぁSNI導入賛成派の論理がとりあえず受け入れられてそういう規格・実装になったわけですよ
無論、ホスト名だけでもプライバシー上の問題がありますから、DNSの通信の暗号化も含めて今後は改善されていくとは思いますが時間がかかりますね 少なくとも最初のclient helloに入ってるSNIは、ブラウザに入れられたhttpsアドレスのFQDNと理解していいですか? 私が知りたかったのは、そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、httpsサイトのFQDNとイコールならそれでよくて、もし違うならどっからその値持ってきてんのかっていう質問です。 イコールですよ。
https://tools.ietf.org/html/rfc6066#section-3
Currently, the only server names supported are DNS hostnames; >>154
> そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、
知り得たも何も、例えばユーザーがブラウザのアドレスバーにURLを入れてアクセスした場合、
そのURLに含まれるFQDNがそのまま使われます
リンククリックならa要素のhref属性に含まれるFQDNね
サーバのIPアドレスはDNSで調べた結果が用いられ、そのIPアドレスへFQDNがそのまま送られる、以上 150はSNIにFQDNの値がそのまま使われてると思ってなくて、じゃあSNIの値はどこを参照してるのか?と質問した。答えはFQDNとSNIは同じ値。150は納得して巣に帰った。以上。 postfix でワイルドカード証明書利用するとワーニング出ませんか?
マルチドメイン証明書なら大丈夫みたいなんですが。 もうすぐ初めての自動更新の季節だが、本当に自動で更新してくれるのか不安 >>163
使い勝手か何か変わった?
手動ではまったく弄ってないから気付いてない オプションがかなり増えてる
状態の確認、削除や無効化の手間(以前は個別に手作業)の削減やら、
証明書の上書き変更やら、プラグイン頼りだった認証方法やオプションの導入
取得コマンドと更新コマンドcronに仕込む以外必要ない人には無縁の世界 色んなOS色んな言語で同じ機能のツール作られてるから好きなの使え Windows用の更新ソフトはどれがいいのでしょう? アドレスバーを緑にするやつ以外無意味。letsで十分 確実にどんな人でも可能な在宅ワーク儲かる方法
念のためにのせておきます
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
6F5IW >>172
個人サイトならLet'sで十分だよな
ところで、某レンタルサーバーで設定したんだが、本当に自動更新されるんだろうか
そろそろ時期なんだが ブラウザで証明書情報を見られるから日付が延長されてるか確認すればいい
二ヶ月くらいで更新されるからもうすぐ期限の3か月というのであれば、既にさし替わってるかも >>175
どうも
今見てみたら、期限7月になってた
今年になってから取得したから、どうやら無事に更新されてる模様
ところで、よく分からないが見てみたらTLS1.2か
確か、1.0が廃止になったんだっけ 世の中みんなyumベースのばっかで、
ソースから入れてる自分には難しかったけど、
ようやくできたわ。
.well_known/acme何とかってディレクトリを予め用意するなんて、
あんまり書かれてなくない? ソースから入れてるんだったらソース読めばわかるだろうに 普通にgitリポジトリから引っ張ってきてやってたけど.well-known/acme-challengeの説明は書いてあるぞ。
Apacheやnginxのモジュールで入れるやつは使ったことない ドキュメントにも一応書かれてる。
Webroot プラグインは ${webroot-path}/.well-known/acme-challenge に一時ファイル(ワンタイムトークン)を作成し…
自分のやり方の何かが違うんだろうけど、
root権限でもここを作ってくれなかったからはまったんだろうな。
理由は調べてない… DDNS提供者のサブドメインを使う形式の場合、
発行数が多すぎてLet's Encryptから蹴られる場合や
DDNS提供者がCAAレコードで禁止している場合がある 自分のドメインじゃなくて他人のドメインをレンタルして発行ってことか
DDNSでまとめるのは如何なものかと 世界共通の*.*で期限なしとか作ってくれよもう…
何か問題ある? 成りすましできて復号もできるじゃん
意味ないじゃん 亀レスだが、DDNSでも独自ドメイン取ってCloudflareなりMyDNSなり使えばなんとかなりそう
独自ドメインは.tkとかがタダで取れるし今試してるところ あと>>178-180でソースインストール叩かれてるけど、ラズパイ版CentOS7のEPELにはCertbot1.9しかなくて辛い
駄文失礼 別に叩かれてはなくね?
選択肢があるならわざわざ難しい方法を選ばなくてもいいってだけで ソース読めないんだったらソースインストール必要ないわな IISで運用してる自鯖の証明書更新メモ書き
echo n | letsencrypt.exe --accepttos --manualhost xxxx.com --webroot D:\wwwroot\xxxx.com
webrootフォルダの権限設定をして、上を実行すると証明書のインストール(差換え)まで
終わっている。そのあとサイト バインドで新しい証明書をあてがうところがまだ手動だから、
これを手でやるが、スクリプトが書ければスケジューらで自動化できるのかな ようやくCentOS5を捨てて、VPSのOSをリニューアルした。
Python3神だわ…
更新の自動化すんごい助かる。
cronで週に一度コマンド叩くだけで、
全部の証明書を更新してくれる(予定)
毎週、まだ更新日じゃないよってcronメールも来るから安心できる。 今さらで悪いんだけど更新タイミングってどうしてます?
週1回確認で1ヶ月切ってたら更新にしてるんだけどちょい心配
毎週強制更新とかしてる人いる? それやると逆にBANされそうじゃん。
そのうち更新されると信じて放置してるよ。
3ヶ月後が楽しみだな(笑) やっぱりそうだよね
おとなしく今のままにしときますw 3ヶ月という短期間の有効期限は何のため?
無駄な発行済をすぐに切るためなのかな? ■ 中国スパイ、アメリカで日本叩き運動を先導
http://jbpress.ismedia.jp/articles/-/53848
8月6日、「デイリー・コーラー」が、「ファインスタイン議員の補佐官でスパイを行っていたのは、
中国系米国人のラッセル・ロウという人物だ」と断定する報道を流した。
ロウ氏は長年、ファインスタイン議員のカリフォルニア事務所の所長を務めていたという。
デイリー・コーラー誌は、ロウ氏が中国政府の国家安全部にいつどのように徴募されたかを報じた。
ロウ氏は、サンフランシスコの中国総領事館を通じて、長年にわたって同安全部に情報を流していたという。
ファインスタイン事務所もFBIもこの報道を否定せず、
一般のメディアも「ロウ氏こそが中国諜報部の協力者、あるいはスパイだ」と一斉に報じた。
主要新聞なども司法当局の確認をとりながら、ロウ氏のスパイ活動を詳しく報道した。
■ 米国に工作員を投入する中国当局
今回、米国において慰安婦問題で日本を糾弾する人物が、実は中国のスパイだったことが明らかになった。
つまり、中国当局が米国に工作員を投入して政治操作を続けている実態があるということだ。
長年、米国議会の意向を反映するような形で慰安婦問題を追及してきたロウ氏が
実は中国政府のスパイだったという事実は、この中国の役割を証明したといえる」と解説していた。 ■ このスレッドは過去ログ倉庫に格納されています