Let's Encrypt 仕様

セキュリティLet's Encrypt

目次一覧

 状態:-  閲覧数:294  投稿日:2019-04-15  更新日:2019-05-22
Let's Encrypt とは?/ WebサイトでHTTPSを有効にするには / Let's EncryptからWebサイトのドメインの証明書を取得するには

使い方 / 証明書 / 更新

Rate Limits / ドメイン検証方式 / プラグイン

Let's Encrypt とは?/ WebサイトでHTTPSを有効にするには / Let's EncryptからWebサイトのドメインの証明書を取得するには

 閲覧数:116 投稿日:2019-04-15 更新日:2019-04-16 

Let's Encrypt とは?


無料の 自動化された オープンな認証局(CA)
・EFF、Mozillaなどによって開始されたオープンな認証局

WebサイトでHTTPSを有効にするには


認証局(CA)から証明書(ファイルの種類)を取得する必要がある

Let's EncryptからWebサイトのドメインの証明書を取得するには


ドメインに対する制御を証明する必要がある
・Let's Encryptでは、ACMEプロトコルを使用するソフトウェアを使用してこれを行う
・ACMEプロトコルは通常、Webホスト上で動作する

シェルアクセス (SSHアクセスとも呼ばれる)あり
・シェルアクセスを持つほとんどの人がCertbot ACMEクライアントを使用することを勧める
・ダウンタイム(Webサイトや情報システムなどで障害が発生してそれを利用することができない期間)なしで証明書の発行とインストールを自動化できる
・自動設定を望まない人のためのエキスパートモードもある
・Certbotがあなたのニーズを満たしていない、または何か他のことを試したいのであれば、選ぶべきACMEクライアントはもっとたくさんある
・さまざまなACMEクライアントを試している場合は、 レート制限を超えないようにステージング環境を使用してくれ

シェルアクセスなし
・省略

使い方 / 証明書 / 更新

 閲覧数:131 投稿日:2019-04-15 更新日:2019-04-19 

使い方


Let's EncryptとACMEプロトコルの目的
・HTTPSサーバーをセットアップして、ユーザーの介入なしに自動的にブラウザーで信頼される証明書を取得できるようにすることだ
・これは、Webサーバー上で証明書管理エージェントを実行することによって達成される

このテクノロジがどのように機能するのかを理解するために
・Let's Encryptをサポートする証明書管理エージェントを使用してhttps://example.com/をセットアップするプロセスを見ていこう

このプロセスには2つのステップがある
・まず、エージェントは、Webサーバーがドメインを管理していることをCAに証明する
・その後、エージェントはそのドメインの証明書を要求、更新、および取り消すことができる

証明書


一覧表
・これらのファイルはすべてシンボリックリンクで、それぞれ最新版の実体ファイルにリンクされている
・証明書を更新しても、ファイルパスを変更する必要はない
ファイル名 内容 ファイルパス
cert.pem 証明書 /etc/letsencrypt/live/xxxx/cert.pem
chain.pem 中間証明書 /etc/letsencrypt/live/xxxx/chain.pem
fullchain.pem 証明書と中間証明書を連結したファイル /etc/letsencrypt/live/xxxx/fullchain.pem
privkey.pem 秘密鍵 /etc/letsencrypt/live/xxxx/privkey.pem
コマンドで確認してみる
$ sudo ls -l /etc/letsencrypt/live/w4c.work
合計 4
-rw-r--r-- 1 root root 692  2月  1 08:55 README
lrwxrwxrwx 1 root root  32  2月  1 08:55 cert.pem -> ../../archive/w4c.work/cert1.pem
lrwxrwxrwx 1 root root  33  2月  1 08:55 chain.pem -> ../../archive/w4c.work/chain1.pem
lrwxrwxrwx 1 root root  37  2月  1 08:55 fullchain.pem -> ../../archive/w4c.work/fullchain1.pem
lrwxrwxrwx 1 root root  35  2月  1 08:55 privkey.pem -> ../../archive/w4c.work/privkey1.pem


更新


更新時に使用される設定
・証明書の取得時に使用したオプションが保存されているファイル
・変更が必要な場合は、このファイルを修正する
/etc/letsencrypt/renewal/xxxx.conf

コマンドで確認してみる
$ less /etc/letsencrypt/renewal/w4c.work.conf
# renew_before_expiry = 30 days
version = 0.30.2
archive_dir = /etc/letsencrypt/archive/w4c.work
cert = /etc/letsencrypt/live/w4c.work/cert.pem
privkey = /etc/letsencrypt/live/w4c.work/privkey.pem
chain = /etc/letsencrypt/live/w4c.work/chain.pem
fullchain = /etc/letsencrypt/live/w4c.work/fullchain.pem

# Options used in the renewal process
[renewalparams]
authenticator = manual
account = a611xxxx
pref_challs = dns-01,
manual_public_ip_logging_ok = True
server = https://acme-v02.api.letsencrypt.org/directory
/etc/letsencrypt/renewal/w4c.work.conf (END)





Rate Limits / ドメイン検証方式 / プラグイン

 閲覧数:121 投稿日:2019-04-19 更新日:2019-05-22 

Rate Limits



ドメイン検証方式


3種類
・比較一覧表
- - - -
TLS-SNI-01 Let’s Encrypt認証局が発行したランダムトークンをWEBサーバー内に設置する 認証局はポート443を使って確認して認証する方式 脆弱性が見つかったため、2019年3月13日に廃止
HTTP-01 Let’s Encrypt認証局が発行したランダムトークンをWEBサーバー内に設置する 認証局はポート80を使って確認して認証する方式 -
DNS-01 Let’s Encrypt認証局が発行したランダムトークンをDNSのレコードに登録する 認証局はDNSレコードの確認により認証する方式 -
TLS-SNI-01
How to stop using TLS-SNI-01 with Certbot

プラグイン


nginx plugin
manual plugin


Let's Encrypt 履歴

Let's Encrypt × cron



週間人気ページランキング / 9-14 → 9-20
順位 ページタイトル抜粋 アクセス数
1 PHPのmb_send_mail関数でメール送信できない | メール処理システム 29
2 Nginx設定。エラーログレベル | Nginx(Webサーバ) 21
3 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 11
4 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 10
5 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 9
6 PHP Version 7.1.2 php-mecabエクステンション対応 / PHP 7.0.14 からのアップグレード  | MeCab(形態素解析) 8
6 ソースからビルドしたPython 2.7.3 アンインストール失敗 | Python(プログラミング言語) 8
7 touch コマンド / viコマンド。新規ファイル作成時の違い | Linuxコマンド 7
7 さくらVPS0 7
8 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 6
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 6
9 PHPファイルでchmodエラー | PHP(プログラミング言語) 5
9 設定 2019/1/22 / 一般ユーザがmailコマンドでメール送信 / 管理者がmailコマンドでメール送信 5
10 Postfix | メール処理システム 4
10 CentOSでcpコマンド動作確認するためには、Control + T ではなく、 -v オプションを使用 | cp(Linuxコマンド) 4
10 499 (Request has been forbidden by antivirus) | HTTP(通信プロトコル) 4
10 tar | Linuxコマンド 4
10 Python 3.6 インストール / make altinstall | Python(プログラミング言語) 4
10 「CentOS6」から「CentOS7」への移行 | CentOS 7 (CentOS) 4
10 echo と cat の違い 4
2021/9/21 1:01 更新