無料SSL/TLS証明書 Let's Encrypt Part3
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://free-ssl.jp/
【Let's Encrypt 導入方法】(日本語)
https://free-ssl.jp/usage/
前スレ
無料SSL/TLS証明書 Let's Encrypt Part2
http://mevius.5ch.net/test/read.cgi/hosting/1508291164/
https://twitter.com/5chan_nel (5ch newer account) ものすごく頭悪いのかものすごく賢いのかどっちだろう 問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険
かと行ってサーバーにデータためてイチイチ見に行くのも手間 問い合わせフォームとコメント外すとスッキリしていいぞ! >>186
どうゆう事何ですか?
自動返信メールとかも暗号化されるのですか? そのメールには暗号化しなければならない
どういう秘匿情報が書かれてるんだ? >>188
管理者宛はS/MIMEで暗号化して、自動返信はしない設計にしましょう 自動返信あるパターン多いから
ないとちゃんと問い合わせ出来たかどうか不安になる イマドキは個人情報は名前程度だけしか記載せず
認証関連はワンタイムにするだけでいいんじゃね? でもまあ今時まともな鯖ならSMTPSですよ
保証されないだけでね 自動返信は送るけど問い合わせ本文を記載しなければいいよね? その問い合わせへの返信メールがすべての経路で暗号化されているか
メールは危険絶対使うな パスワード付きの添付ファイル送って
後のメールでパスワード送ったらいいんだよねw _, ._
(・ω・) ・・・。
○={=}〇
|:::::::::\
._____U___U__(@)_________________ 「詳しくお願いします」と言ったら教えてくれると思っているバカがいると聞いて飛んできました! 中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと
例えば >>180 とか >>183 とか 社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない? LetsEncryptの認証が通せて
使うときのエンドポイントに使えるFQDNなら
なんでも使えると思うよ
特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが >>209
mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう
Let'sを更新する時はグローバルアドレスへ切り替える。 レスありがとう。mydnsで行ってみようと思います。 今日になったら SSL_get_verify_result 10の日付エラーする なんでだろう Squidの設定ミスかと思った
X509_V_ERR_CERT_HAS_EXPIRED出まくりで CENTOS7は UPdate が必要だ。使っている台数が半端ないから
証明書をLETS辞めるほうが早いな。安い所探そう Your system is not supported by certbot-auto anymore.
って毎回メールが来るけど普通に自動更新できてるな。こういうもん? >>218
certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です
ttps://community.letsencrypt.org/t/certbot-auto-no-longer-works-on-debian-based-systems/139702/7 暗号方式を rsa から ecdsa に変えてみようと思うのだが
letsencrypt を
nginx
postfix
dovecot
stunnel
などでつかっているのでとらぶるが起きないか結構不安
注意点などありましたらご教示ください。
>偉い人 nginxなら2種類指定して同時に使えるから何も困らんはず >>220
うちはletsencryptでrsaとecdsaの両方取得して、
apacheで両方指定、
postfixとdovecotはrsaのみ、
という運用をしてます。
stunnelは使っていないので分からないすまん。 letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に
規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、
認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス
できれば、再認証は通ることが分かった。
80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで
アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか? >>223
結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし
/.well-known/acme-challenge/* だけ通せばいい
TLS-ALPN-01チャレンジは一斉失効が先月あったばかり 80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。
結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ
を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、
certbotは80だけを見てるってことなのか
参考になりました >>226
Apacheでmod_rewrite使ってるならRewriteCondで除外するでしょ普通 最初にcertbotするときメールID聞いてきますよね。
これって有効期限が60日以上が経過するとメールで連絡してくるんですか? >>228
Let's Encrypt certificate expiration notice for domain "example.com"
みたいな件名でメール来るよ
期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず そのメアドって後から追加したり変更したりってできる? 来たことなぁ、mod_sslの方がカウントダウンしてくれるし >>230
certbotだと変更は
certbot update_account --email 新しいメアド
で可能。追加は出来なさそう。 手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、
HTTP-01の利点ってcrontabで自動更新できるって点だけ? >>233
DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど
HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ
>>236
だよね。手動でやるなら有効期間が1年でも面倒
Let's Encryptは90日だけど、60日での更新が推奨だし 自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる? そういう場合はアラート来るように仕込むまでが自動だろ常考… 普通opensslコマンドで1行スクリプト毎日回すでしょ だから回すだけじゃ駄目なんだって 失敗を検知しないと連続で失敗するだけじゃん え、自前 DNS 鯖の DNS-01でも自動更新されてるけど、そういう話じゃない? cronの出力をメールで受け取ればエラーなんて3秒で確認できるじゃろ そんなこと言ったらカーネルパニックになったらどうすんだよ 使わなくなった証明書がexpireのカウントダウンが来るんだけど、
使わないというcertbotのコマンドとかあるの? >>254
certbot revoke --cert-path /PATH/TO/downloaded-cert.pem >>254
それくらいググろうぜ
certbot revoke >>255-256
ぅぉぉぉ、できた!
すまねぇググる前に質問してしまった・・・ありがとうやで >>257
いらない証明書を消す
certbot delete もするんやで 新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と
書かれてたからその通りにやったらsnapでかすぎてビビった。
一度設定まで済ませたけど、acme.shで再構築した。 IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん!
って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど
SSLってhttps://hogehoge.net:10000みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして… >>262
ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも
普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ
http→httpsのリダイレクト入れるとダメっぽいけど >>261
そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる
ドメインは持ってる必要があるけどね 俺用メモ
apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法
じゅんび:
・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える
やったこと:
サーバーコンフィグに以下を突っ込む
コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ
## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理
## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」
#MDBaseServer off
#MDCertificateProtocol ACME
MDCAChallenges http-01
## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする
## テスト環境用はhttps://acme-staging-v02.api.letsencrypt.org/directory
#MDCertificateAuthority https://acme-v02.api.letsencrypt.org/directory
## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい
MDCertificateAgreement accepted
## ServerAdminに有効なメールアドレスを入力してないならここで入力
MDContactEmail admin@example.com
つづく >>265
つづき
## 一つは必須、複数ドメインが必要な場合は半角スペースを挟んでここで入力しても良いししなくてもよい
## ここに複数のドメインの記載をしない場合でも、VirtualHostのServerNameとServerAliasに記載したドメインが自動的に追加される(らくちん)
MDomain example.com
## 「RSA ビット数」で1個指定する場合と「暗号名 暗号名」で複数指定するパターンのどちらか(デフォはRSA 2048)
## mod_mdのドキュメントとLet's EncryptのドキュメントとOpenSSLの全てでECDSAの曲線名が違ってて発狂し死に至る危険性があるけど
## secp256r1=P-256=prime256v1(RFC 8422 付録Aを参照)なのでmod_mdのドキュメント表記に従いsecp256r1記載で生成
## RSAしか対応してないかつLet's Encryptのルート証明に対応してるデバイスがあるならrsa2048も追加
MDPrivateKeys secp256r1
## MDDriveModeはMDRenewModeに置き換えられた(互換性のため残ってる)
## デフォで自動的に残り日数33%=Let's Encryptの推奨である60日毎(残り30日)で更新してくれる
#MDRenewMode auto
#MDRenewWindow 33%
終わり acme.shで更新するとどうしてもFirefoxで閲覧できなくなるの改善してほしいわ
デフォルトのルート証明書が古いまま >>267
preferred-chain で回避できるのとは違う問題? >>267
DV証明書と中間証明書のどちらも期限が同じ日付になってて悩んだことがあったけど
Apache 2.4.8以前
SSLCertificateChainFile 中間CA証明書ファイル
Apache 2.4.8以降
SSLCertificateFile 中間CA証明書、およびクロスルート証明書(オプション)はサーバ証明書と一つの証明書ファイル
のこととか? 現在、example.com www.example.com で証明書を作成して使っています。
ワイルドカードに変えようと思うのですが、
現在のを revoke かdelete してから取るのが正しい手順でしょうか?
また、何か注意点がありましたらご教示ください。
教えて下さい、偉い人 レスしようと思ったが
全く自分は偉くないことに気がついた
すまん 偉くないから答えられない身分ですが
新しいのを発行、運用開始してからrevokeしないとダウンタイムがあると思います >>270 です。
実は example.com example.org の複数ドメインを一つにした証明書を
使っておりまして、let's のディレクトリには example.com の名称で
登録されていました。
ここで、ワイルドカードを取りに行くと、多分現在の example.com に
上書きされちゃって面倒になると思っていましたがどうなのかな?
ほんで、まずは example.org のワイルドカードを取ってみました。
で、取れたんですが何故か3ヶ月より短い。どうも現在 example.com 名義の
期限がそのまま受け継がれたようです。そういうものなんですかね?
で、example.com をrevoke して、example.com のワイルドカードを
取ったら、ちゃんと今日から3ヶ月でした。
あらかじめ dry-run でテストして多分大丈夫だろうと目星がついたところで
一気にrevoke ワイルドカード取得、各種の reload をやり、ダウンタイムは5分以下だったと
思います。
そのうち、force renew してどちらの期限も同じにしようと思います。
ではでは 自宅サーバで引っ越ししたら証明書更新が出来なくなったんだけどなんで? Challenge failed for domain hogehoge.com
みたいになりました。 
