無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ 雑魚報告だよ。
そのうち自分で対応するから、対応できたらまた方法を書くの。
誰かの役に立つかもしれない… 思ったが、ブログにでも描いてろクソと言われても仕方ないな。
SNSとか一切やってないんだよね。
ここが唯一です。 ブログでも良いしQiitaとか自分のギッハブの個人プロジェクトにイシュー作ってメモ書きでも良いから書いとくと自分の知見が溜まるぞ。 ポート80や443以外で更新できないもんかね
止めなきゃいけないのがイヤ いやいやstabdaloneで動かす必要ないだろって話 レジストラのDNSでNS設定できるとこ少ないけど
LE化でNSレコード設定できないと困るようになったよな >>254
certonly使えばいいのよ
sudo certbot certonly -n --agree-tos --webroot -w ドキュメントルート -m メアド -d ドメイン
NginxでもApacheでも、バーチャルホストとドキュメントルート一致させとけば
certbotが勝手にドキュメントルート/.well-known以下にファイル作ってDVしてくれる certonlyでやって、任意のパス/.well-known/acme-challenge 以降に書き込み権限与えてドキュメントルートの/.well-known/acme-challengeへの接続だけそっちに向けてれば楽。 certonly --manual 使えば配置するファイルの名前と中身が指定されるから、
それを任意の方法で指定場所にファイル置いてから継続実行するだけで作成することも可 証明書って更新する必要ある?
暗号化されてるから俺はそのままでいい フルネームで自分の名前を出すの嫌だし、
正規の認証局の名前がないってダサダサ
わっかんないかなあ? 自己署名したCAから証明書配ってるやつ居るらしいっすよ >>263
ブラウザで危険!ってでても気にしない人しか使わなければいいんじゃね OpenCAとかそんな感じの名前の団体が無料で証明書発行してた記憶がある
Let's encryptのはしりみたいな感じ
ブラウザにその団体のCA登録しないとオレオレになるけど IPsecでも何でも使えばいいだろうよ
そんな事やってられないからこのレイヤーで暗号化してるんだ 「ぼくのかんがえたさいきょうのあんごう」
これ使えば安全だぞサポートしてるブラウザなんか存在しないけどな >>263
一度もした事ないけど
ちゃんと自動更新されてる レッツエンクリプトのプランドを一度取得したんだから、
失効のリスクを抱えてまで更新する必要はない。 >>287
Let's Encryptの証明書は発行から90日後が有効期限ですけど 有効期限なんかどうでも良くね?
ブランドはいつまでも価値あるもの
今でもフェラーリの古いやつに乗ってる人いるだろ フェラーリだって2年ごとに車検受けないと公道で乗れないだろ >>289
でも自動更新される
ん?
自動更新されるのはレン鯖のサービスで? >>294
更新の自動化は鯖側でやるものだから、共有レン鯖ならその業者がサービスとして設定していますね >>298
金儲ける機会の向上
検索順位優遇・HTTP/2速度向上・セキュリティ向上・それによる広告収入アップなどいいことだらけ
おあそびやおままごとじゃなければとっくに常時SSL
化してる ×SSLは有害
○SSL化するスキルがないお子ちゃま SSLが有害なのは合ってる。
TLS 1.2以上じゃないとね。 >>303
常時SSLってワードにTLSが含まれないっていう細かい揚げ足とり厨かな?
SSLをTLSに言い直すかって議論はもう結論出てるんだが? 会話(かいわ、英: conversation)とは、2人もしくはそれ以上の主体が、主として言語の発声・手話・ジェスチャーなどによる意思表示によって共通の話題をやりとりするコミュニケーションや、あるいは話をする行為全般(内容・様式など)のこと。
ウィキペディアより みなさん、今までお付き合いいただきありがとうございました。
9月も終わりましたので私のマジキチ書き込みは終わります。 みんさん1週間よく耐えましたね。
これが最後の書き込みです。
お世話になりました。 >>246 です。
とりあえず今回は手動で更新して済ませたんですが、今後のために教えてください。
CentOS 6
Apache 2.2
Python 2.7
※すべてそろそろ入れ替えないとと思ってます。
プラグインって結局なんなんだ?と少しググりましたが、
Apache 2.4系じゃないと使えないんですかね?
今回の質問は…
コマンドで更新する際に質問が来てしまって、2とEnterを押さないといけないのを自動化できないかというものです。
certbot-auto certonly --standalone -d www.example.jp
これを実行すると下記の質問が来ます。
What would you like to do?
-------------------------------------------------------------------------------
1: Keep the existing certificate for now
2: Renew & replace the cert (limit ~5 per 7 days)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
httpdが多少止まるのは全然問題なし。
よろしくお願いします。 >>324
すでに証明書発行済みなのに新規発行しようとしてるから、既存証明書を残すか強制更新するか聞かれてるわけ
新規発行は--standaloneじゃなく--webrootでやればApache動かしたままできるし
更新はcertbot renew --post-hook "/etc/init.d/httpd reload"でやんなさい >>325
少しは進みました(笑)
>>326 >>327
renewやpost-hookは真っ先にやりましたよ…
でも色々とやってみた結果なんで…(汗)
renewが何をやってもプラグインエラーから変わらず。
ログを見ても同じような事しか書いてない。
Apache 2.4のrpm版にしたら解決するのかもしれない?
プラグインの具体的な意味をまだ把握していないんですが、
ネットに書いてあるcertbot-python-apacheみたいなrpmは色んなyumリポを探したけどなかったです。
色々な名前でも検索した。 >>248
こんな状況ですんで…
いじってる時間ないんですよ。
でもVPSじゃないと困ることが多々あるのでレンサバにしてないんです。 次のSSL更新が来年なので、CentOS7の入れ替えを年末年始にでもやります。
ご指摘ありがとうございました!
あっ、ふとさらなる迷宮作戦を思い付きました。
どうしてもダメなら懐かしのexpectを使って2を入力するようにしてみます(苦笑) 無料だとこんなのも相手にしなきゃいけないんだな
サポートしてる人も可哀想だ 本当に死ねばいいのにな
VPSとかどうせ侵入されて情報ダダ漏れだろ そんなやつの情報はどうでもいいが感染して他人に迷惑かけるからな うちの部署にメッセージ読まない検索しないマニュアル読まないで動かないとか文句いって質問してくるやつがいる >>339
作業依頼のメールに手順を書いてログインIDやパスワードを添えてあっても
やり方教えてください、ログインIDわかりません、パスワード教えてくださいと毎度問い合わせが来る >>332 です。
初心者の勉強用の非公開サーバーなので何を言われても良いんですが、これだけ。
・自宅固定IP以外はiptablesや他のアクセス制限を組み合わせて全サービス接続できないようにしています。
・DNS、NTP問い合わせもサーバー屋さんのだけにiptablesで制限しています。
・TCP 80, 443だけはconfのアクセス制限で自宅IPと*.letsencrypt.orgだけ許可しています。
・不要なサービスはすべて停止しています。
・bindするアドレスは極力127.0.0.1を心掛けています。
CentOS7に入れ替える時には、どこかのサイトやマニュアル通りの手順通りにやってみます。
自宅サーバーは物理面の保守が嫌なので勘弁してください。 >>341
何言われてもいいなら言い訳長文レスしないはず
文句言われて悔しいから反射的に書き込み反論我慢できない
技術も精神も子どもなんだろう >>341 です。
これから全力で荒らしますので、よろしくお願いいたします。 >>328
だからー根本的にstandaloneじゃなくwebroot使いなさいっていうの
renewの動作は最初の発行時を引き継ぐんだから ■ このスレッドは過去ログ倉庫に格納されています