無料SSL/TLS証明書 Let's Encrypt Part3
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://free-ssl.jp/
【Let's Encrypt 導入方法】(日本語)
https://free-ssl.jp/usage/
前スレ
無料SSL/TLS証明書 Let's Encrypt Part2
http://mevius.5ch.net/test/read.cgi/hosting/1508291164/
https://twitter.com/5chan_nel (5ch newer account) >>173
あっ?
何ぬかしとんじゃコラッ
チンカスが >>173
今どきアンカーつけてそれはまずいですね
某女子プロレスラーの事件の後厳しくなってますから
私も今から通報しておきますね Your system is not supported by certbot-auto anymore. って毎回出るんだけど何故かずっと使えてるな
このままでいいのか? サイトをいくら常時SSLにしても
問い合わせフォームある時点でアウト ものすごく頭悪いのかものすごく賢いのかどっちだろう 問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険
かと行ってサーバーにデータためてイチイチ見に行くのも手間 問い合わせフォームとコメント外すとスッキリしていいぞ! >>186
どうゆう事何ですか?
自動返信メールとかも暗号化されるのですか? そのメールには暗号化しなければならない
どういう秘匿情報が書かれてるんだ? >>188
管理者宛はS/MIMEで暗号化して、自動返信はしない設計にしましょう 自動返信あるパターン多いから
ないとちゃんと問い合わせ出来たかどうか不安になる イマドキは個人情報は名前程度だけしか記載せず
認証関連はワンタイムにするだけでいいんじゃね? でもまあ今時まともな鯖ならSMTPSですよ
保証されないだけでね 自動返信は送るけど問い合わせ本文を記載しなければいいよね? その問い合わせへの返信メールがすべての経路で暗号化されているか
メールは危険絶対使うな パスワード付きの添付ファイル送って
後のメールでパスワード送ったらいいんだよねw _, ._
(・ω・) ・・・。
○={=}〇
|:::::::::\
._____U___U__(@)_________________ 「詳しくお願いします」と言ったら教えてくれると思っているバカがいると聞いて飛んできました! 中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと
例えば >>180 とか >>183 とか 社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない? LetsEncryptの認証が通せて
使うときのエンドポイントに使えるFQDNなら
なんでも使えると思うよ
特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが >>209
mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう
Let'sを更新する時はグローバルアドレスへ切り替える。 レスありがとう。mydnsで行ってみようと思います。 今日になったら SSL_get_verify_result 10の日付エラーする なんでだろう Squidの設定ミスかと思った
X509_V_ERR_CERT_HAS_EXPIRED出まくりで CENTOS7は UPdate が必要だ。使っている台数が半端ないから
証明書をLETS辞めるほうが早いな。安い所探そう Your system is not supported by certbot-auto anymore.
って毎回メールが来るけど普通に自動更新できてるな。こういうもん? >>218
certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です
ttps://community.letsencrypt.org/t/certbot-auto-no-longer-works-on-debian-based-systems/139702/7 暗号方式を rsa から ecdsa に変えてみようと思うのだが
letsencrypt を
nginx
postfix
dovecot
stunnel
などでつかっているのでとらぶるが起きないか結構不安
注意点などありましたらご教示ください。
>偉い人 nginxなら2種類指定して同時に使えるから何も困らんはず >>220
うちはletsencryptでrsaとecdsaの両方取得して、
apacheで両方指定、
postfixとdovecotはrsaのみ、
という運用をしてます。
stunnelは使っていないので分からないすまん。 letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に
規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、
認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス
できれば、再認証は通ることが分かった。
80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで
アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか? >>223
結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし
/.well-known/acme-challenge/* だけ通せばいい
TLS-ALPN-01チャレンジは一斉失効が先月あったばかり 80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。
結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ
を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、
certbotは80だけを見てるってことなのか
参考になりました >>226
Apacheでmod_rewrite使ってるならRewriteCondで除外するでしょ普通 最初にcertbotするときメールID聞いてきますよね。
これって有効期限が60日以上が経過するとメールで連絡してくるんですか? >>228
Let's Encrypt certificate expiration notice for domain "example.com"
みたいな件名でメール来るよ
期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず そのメアドって後から追加したり変更したりってできる? 来たことなぁ、mod_sslの方がカウントダウンしてくれるし >>230
certbotだと変更は
certbot update_account --email 新しいメアド
で可能。追加は出来なさそう。 手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、
HTTP-01の利点ってcrontabで自動更新できるって点だけ? >>233
DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど
HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ
>>236
だよね。手動でやるなら有効期間が1年でも面倒
Let's Encryptは90日だけど、60日での更新が推奨だし 自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる? そういう場合はアラート来るように仕込むまでが自動だろ常考… 普通opensslコマンドで1行スクリプト毎日回すでしょ だから回すだけじゃ駄目なんだって 失敗を検知しないと連続で失敗するだけじゃん え、自前 DNS 鯖の DNS-01でも自動更新されてるけど、そういう話じゃない? cronの出力をメールで受け取ればエラーなんて3秒で確認できるじゃろ そんなこと言ったらカーネルパニックになったらどうすんだよ 使わなくなった証明書がexpireのカウントダウンが来るんだけど、
使わないというcertbotのコマンドとかあるの? >>254
certbot revoke --cert-path /PATH/TO/downloaded-cert.pem >>254
それくらいググろうぜ
certbot revoke >>255-256
ぅぉぉぉ、できた!
すまねぇググる前に質問してしまった・・・ありがとうやで >>257
いらない証明書を消す
certbot delete もするんやで 新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と
書かれてたからその通りにやったらsnapでかすぎてビビった。
一度設定まで済ませたけど、acme.shで再構築した。 IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん!
って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど
SSLってhttps://hogehoge.net:10000みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして… >>262
ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも
普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ
http→httpsのリダイレクト入れるとダメっぽいけど >>261
そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる
ドメインは持ってる必要があるけどね 俺用メモ
apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法
じゅんび:
・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える
やったこと:
サーバーコンフィグに以下を突っ込む
コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ
## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理
## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」
#MDBaseServer off
#MDCertificateProtocol ACME
MDCAChallenges http-01
## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする
## テスト環境用はhttps://acme-staging-v02.api.letsencrypt.org/directory
#MDCertificateAuthority https://acme-v02.api.letsencrypt.org/directory
## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい
MDCertificateAgreement accepted
## ServerAdminに有効なメールアドレスを入力してないならここで入力
MDContactEmail admin@example.com
つづく