X
無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2017/10/18(水) 10:46:04.560
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/
0752名無しさん@お腹いっぱい。
垢版 |
2019/07/05(金) 22:28:40.960
>>749
それもだし、やっぱり Let’s Encrypt の功績も大きい。いかに安くても有料の証明書しかなかったらここまで広がらなかったと思う。

# ちな、有料DV証明書最安は、1ドメイン当たり$4/年だったかな。
0754名無しさん@お腹いっぱい。
垢版 |
2019/07/05(金) 23:24:38.160
無料はWoSignとStartComもやってたが・・・
1. まずWoSignがやらかして排除され
2. その後WoSignがStartComをこっそり買収してたことが発覚
3. しかも両方で不正な証明書発行が発覚
という見事なコンボだったな

CAcertなんてのもあるが、ブラウザベンダに働きかけないからなぁ
0755名無しさん@お腹いっぱい。
垢版 |
2019/07/06(土) 00:10:39.480
もうSSLの証明書はGoogleの好きなようにできるようになってしまった
サイト立ち上げて発行すればGoogleのLogサーバーに記録されてURLがバレる
httpsの方が送られる環境変数が多いし、もう陰謀なんじゃないかととか考えてしまうw

httpでなんの問題もないサイトでも「安全ではありません」とかわざわざ出るしな

httpsでも安全でないサイトなんかいくらでもあるだろうに
0757名無しさん@お腹いっぱい。
垢版 |
2019/07/06(土) 03:10:31.210
なりすまし対策もあるよ
途中経路なりDNSなりで別のサーバが正規のサーバになりすましても証明書エラーになる
でないとソープの受付電話番号のページを見たつもりでバラク・オバマの携帯に電話かけさせられるかもしれない
0760名無しさん@お腹いっぱい。
垢版 |
2019/07/10(水) 10:11:25.510
ffftp でこの証明書使うと前回から2か月たっているとこの証明書でよいか聞いてくる。ffftpは証明者や期間をチェックしないのかな
0761名無しさん@お腹いっぱい。
垢版 |
2019/07/10(水) 10:18:32.960
それって2ヶ月で自動更新しててffftpの2ヶ月のタイミングで証明書が変わってるから確認が出てるとかではないの?
0821名無しさん@お腹いっぱい。
垢版 |
2019/09/11(水) 04:48:58.460
certbotを使用してnginxにlet's encryptを有効にしたいのですがエラーが出てしまいました。

最初にsudo certbot --nginx -d domain.comでやったときには成功したのですが、
後でサブドメインにも証明書を有効にしたいと思い、
一度sudo certbot revoke --cert-pat=/etc/letsencrypt/live/domain.com/cert.pemとやってしまいました。

それからsudo certbot --nginx -d domain.com -d *.domain.comで全てのサブドメインも一緒に有効化しようと思ったのですが

Error while running nginx -c /etc/nginx/nginx.conf -t.
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/domain.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:
No such file or directory:fopen('/etc/letsencrypt/live/domain.com/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
The nginx plugin is not working; there may be problems with your existing configuration.
The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\n
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/domain.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:
No such file or directory:fopen(\'/etc/letsencrypt/live/domain.com/fullchain.pem\',\'r\')
error:2006D080:BIO routines:BIO_new_file:no such file)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n',)

というエラーで出来なくなっちゃいました。
「/etc/nginx/nginx.conf内にあるlet's encryptのところを削除すればいいのかな」と思ったのですが
それっぽい行が見つからず、どこを修正するのかさっぱりです。
問題の原因と直し方をご教授いただけないでしょうか、、、
0823821
垢版 |
2019/09/11(水) 05:53:32.030
>>822
ありがとうございます。
sudo certbot --nginx -d example.com -d "*.example.com"でやってみたのですが、
やはり以下のようなエラーです。。。


Error while running nginx -c /etc/nginx/nginx.conf -t.

nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/example.com/fullchain.pem")
failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/example.com/fullchain.pem','r')
error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
0825821
垢版 |
2019/09/11(水) 07:45:36.220
>>824
そうなんです。
そこは分かるのですが、この問題を解消するために一度nginxがletsencrypt関連のファイルを読み込む行を削除しようと思いました。
しかし、>>821のnginx設定ファイルを見てもどこを消せばいいのか分からず・・・
どうやって「無いファイルを読み込もうとする」ことを防げるのでしょうか
0826821
垢版 |
2019/09/11(水) 08:12:51.390
/etc/nginx/sites-available/example.com内を見たらcertbotが書き込んだ行が見つかりました。
sites-available/example.comは修正したのですが、
sudo certbot --nginx -d example.com -d "*.example.com"をやると
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Obtaining a new certificate
Performing the following challenges:
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.

となってしまいます・・・
どうしたらいいのでしょうか
0828名無しさん@お腹いっぱい。
垢版 |
2019/09/11(水) 08:26:47.470
certbot certonly --agree-tos -n --webroot -w /var/www -m メアド -d ドメイン

/etc/letsencrypt/renewal-hooks/deploy/nginx作る。オーナーrootパーミッション700
中身
#!/bin/sh
/bin/systemctl reload nginx

これで自動運転
0829821
垢版 |
2019/09/11(水) 08:41:49.470
sudo certbot --nginx -d example.com -d "*.example.com"で
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
となってしまうのはどうすればいいのでしょう・・・(>>826


>>827
--nginxでやっても止めずに出来ますよ。

>>828
私はcron.dに自動更新スクリプト入れるつもり
sudo certbot renew --dry-run
0830名無しさん@お腹いっぱい。
垢版 |
2019/09/11(水) 09:45:34.360
>>829
書いてあるとおりですね
ワイルドカードはDNS-01チャレンジが必要なので、HTTP-01チャレンジでは発行されません

nginxをreloadしないと新しい証明書が読み込まれませんのでご注意ください
ところで、--dry-runは冗談ですよね?
0839821
垢版 |
2019/09/12(木) 06:45:40.710
>>830
dns-01チャレンジをcertbotでやるにはどうしたらいいんでしょうか・・・

>>838
アパッチ使ったことないです
今回初めて自分のサイトを作ってみようと思ってて・・・
0840821
垢版 |
2019/09/12(木) 06:46:10.240
あとおぢさんじゃないですw
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況