X
無料SSL/TLS証明書 Let's Encrypt Part3
0001名無しさん@お腹いっぱい。
垢版 |
2019/09/26(木) 03:40:34.580
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://free-ssl.jp/

【Let's Encrypt 導入方法】(日本語)
https://free-ssl.jp/usage/

前スレ
無料SSL/TLS証明書 Let's Encrypt Part2
http://mevius.5ch.net/test/read.cgi/hosting/1508291164/
https://twitter.com/5chan_nel (5ch newer account)
0169名無しさん@お腹いっぱい。
垢版 |
2021/08/04(水) 20:33:48.800
げんとく
0171名無しさん@お腹いっぱい。
垢版 |
2021/08/11(水) 17:26:55.140
>>170
ワレあほケ
0175名無しさん@お腹いっぱい。
垢版 |
2021/08/15(日) 23:32:36.210
>>173
あっ?
何ぬかしとんじゃコラッ
チンカスが
0176名無しさん@お腹いっぱい。
垢版 |
2021/08/16(月) 16:46:07.740
>>173
今どきアンカーつけてそれはまずいですね
某女子プロレスラーの事件の後厳しくなってますから
私も今から通報しておきますね
0178名無しさん@お腹いっぱい。
垢版 |
2021/08/17(火) 08:42:05.540
Your system is not supported by certbot-auto anymore. って毎回出るんだけど何故かずっと使えてるな
このままでいいのか?
0180名無しさん@お腹いっぱい。
垢版 |
2021/08/19(木) 20:22:44.680
サイトをいくら常時SSLにしても
問い合わせフォームある時点でアウト
0183名無しさん@お腹いっぱい。
垢版 |
2021/08/19(木) 23:18:16.010
問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険
かと行ってサーバーにデータためてイチイチ見に行くのも手間
0184名無しさん@お腹いっぱい。
垢版 |
2021/08/20(金) 01:45:08.110
意味不明すぎてw
0189名無しさん@お腹いっぱい。
垢版 |
2021/08/20(金) 17:22:29.860
そのメールには暗号化しなければならない
どういう秘匿情報が書かれてるんだ?
0191名無しさん@お腹いっぱい。
垢版 |
2021/08/20(金) 19:56:53.430
自動返信あるパターン多いから
ないとちゃんと問い合わせ出来たかどうか不安になる
0192名無しさん@お腹いっぱい。
垢版 |
2021/08/20(金) 20:11:03.810
イマドキは個人情報は名前程度だけしか記載せず
認証関連はワンタイムにするだけでいいんじゃね?
0199名無しさん@お腹いっぱい。
垢版 |
2021/08/22(日) 02:35:06.310
>>186
詳しくお願いします
0202名無しさん@お腹いっぱい。
垢版 |
2021/08/22(日) 16:09:25.480
>>201
やめたれwww
0208名無しさん@お腹いっぱい。
垢版 |
2021/08/24(火) 15:19:58.720
中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと
例えば >>180 とか >>183 とか
0209名無しさん@お腹いっぱい。
垢版 |
2021/09/24(金) 06:37:15.590
社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない?
0210名無しさん@お腹いっぱい。
垢版 |
2021/09/24(金) 12:49:43.940
LetsEncryptの認証が通せて
使うときのエンドポイントに使えるFQDNなら
なんでも使えると思うよ

特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが
0211名無しさん@お腹いっぱい。
垢版 |
2021/09/24(金) 13:20:17.280
>>209
mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう
Let'sを更新する時はグローバルアドレスへ切り替える。
0216名無しさん@お腹いっぱい。
垢版 |
2021/10/02(土) 08:15:18.750
CENTOS7は UPdate が必要だ。使っている台数が半端ないから
証明書をLETS辞めるほうが早いな。安い所探そう
0218名無しさん@お腹いっぱい。
垢版 |
2021/10/12(火) 18:08:41.520
Your system is not supported by certbot-auto anymore.
って毎回メールが来るけど普通に自動更新できてるな。こういうもん?
0219名無しさん@お腹いっぱい。
垢版 |
2021/10/12(火) 18:50:00.180
>>218
certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です
ttps://community.letsencrypt.org/t/certbot-auto-no-longer-works-on-debian-based-systems/139702/7
0220名無しさん@お腹いっぱい。
垢版 |
2022/01/16(日) 10:51:53.810
暗号方式を rsa から ecdsa に変えてみようと思うのだが
letsencrypt を

nginx
postfix
dovecot
stunnel

などでつかっているのでとらぶるが起きないか結構不安
注意点などありましたらご教示ください。
>偉い人
0222名無しさん@お腹いっぱい。
垢版 |
2022/01/17(月) 23:14:46.060
>>220
うちはletsencryptでrsaとecdsaの両方取得して、
apacheで両方指定、
postfixとdovecotはrsaのみ、
という運用をしてます。

stunnelは使っていないので分からないすまん。
0223名無しさん@お腹いっぱい。
垢版 |
2022/02/09(水) 19:05:17.660
letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に
規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、
認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス
できれば、再認証は通ることが分かった。

80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで
アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか?
0225名無しさん@お腹いっぱい。
垢版 |
2022/02/09(水) 19:40:41.800
>>223
結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし
/.well-known/acme-challenge/* だけ通せばいい

TLS-ALPN-01チャレンジは一斉失効が先月あったばかり
0226名無しさん@お腹いっぱい。
垢版 |
2022/02/09(水) 21:57:56.400
80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。
結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ
を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、
certbotは80だけを見てるってことなのか
参考になりました
0228名無しさん@お腹いっぱい。
垢版 |
2022/02/12(土) 22:44:33.940
最初にcertbotするときメールID聞いてきますよね。
これって有効期限が60日以上が経過するとメールで連絡してくるんですか?
0229名無しさん@お腹いっぱい。
垢版 |
2022/02/12(土) 23:17:13.110
>>228
Let's Encrypt certificate expiration notice for domain "example.com"
みたいな件名でメール来るよ
期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず
0233名無しさん@お腹いっぱい。
垢版 |
2022/02/15(火) 20:43:23.990
手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、
HTTP-01の利点ってcrontabで自動更新できるって点だけ?
0238名無しさん@お腹いっぱい。
垢版 |
2022/02/15(火) 23:29:50.480
>>233
DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど
HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ

>>236
だよね。手動でやるなら有効期間が1年でも面倒
Let's Encryptは90日だけど、60日での更新が推奨だし
0239名無しさん@お腹いっぱい。
垢版 |
2022/02/16(水) 11:25:29.750
自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる?
0240名無しさん@お腹いっぱい。
垢版 |
2022/02/16(水) 11:37:58.990
そういう場合はアラート来るように仕込むまでが自動だろ常考…
0254名無しさん@お腹いっぱい。
垢版 |
2022/02/19(土) 18:28:35.820
使わなくなった証明書がexpireのカウントダウンが来るんだけど、
使わないというcertbotのコマンドとかあるの?
0259名無しさん@お腹いっぱい。
垢版 |
2022/04/08(金) 20:34:19.790
新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と
書かれてたからその通りにやったらsnapでかすぎてビビった。
一度設定まで済ませたけど、acme.shで再構築した。
0261名無しさん@お腹いっぱい。
垢版 |
2022/04/15(金) 19:22:02.470
IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん!
って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど
SSLってhttps://hogehoge.net:10000みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして…
0263名無しさん@お腹いっぱい。
垢版 |
2022/04/15(金) 22:36:22.970
>>262
ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも

普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ
http→httpsのリダイレクト入れるとダメっぽいけど
0264名無しさん@お腹いっぱい。
垢版 |
2022/04/16(土) 00:46:58.790
>>261
そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる
ドメインは持ってる必要があるけどね
0265名無しさん@お腹いっぱい。
垢版 |
2022/04/17(日) 20:16:46.650
俺用メモ
apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法

じゅんび:
・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える

やったこと:
サーバーコンフィグに以下を突っ込む
コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ

## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理
## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」
#MDBaseServer off

#MDCertificateProtocol ACME
MDCAChallenges http-01

## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする
## テスト環境用はhttps://acme-staging-v02.api.letsencrypt.org/directory
#MDCertificateAuthority https://acme-v02.api.letsencrypt.org/directory

## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい
MDCertificateAgreement accepted

## ServerAdminに有効なメールアドレスを入力してないならここで入力
MDContactEmail admin@example.com

つづく
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況