新規ドメイン取得後、サブドメインへ対してLet's Encryptの無料SSL導入(2019/6/21)

セキュリティLet's Encrypt

目次一覧

 状態:-  閲覧数:376  投稿日:2019-06-21  更新日:2019-06-21
Install Certbot / run Certbot 失敗 / run Certbot 成功

Install Certbot / run Certbot 失敗 / run Certbot 成功

 閲覧数:114 投稿日:2019-06-21 更新日:2019-06-21 

Install Certbot


$ sudo yum install certbot python2-certbot-nginx
読み込んだプラグイン:fastestmirror, langpacks
Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast
base                                                                                                                                  | 3.6 kB  00:00:00    
epel/x86_64/metalink                                                                                                                  | 7.7 kB  00:00:00    
epel                                                                                                                                  | 5.3 kB  00:00:00    
extras                                                                                                                                | 3.4 kB  00:00:00    
http://mirrors.tuna.tsinghua.edu.cn/ius/stable/CentOS/7/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
他のミラーを試します。
To address this issue please refer to the below knowledge base article

https://access.redhat.com/articles/1320623

If above article doesn't help to resolve this issue please create a bug on https://bugs.centos.org/

ius                                                                                                                                   | 2.6 kB  00:00:00    
mysql-connectors-community                                                                                                            | 2.5 kB  00:00:00    
mysql-tools-community                                                                                                                 | 2.5 kB  00:00:00    
mysql57-community                                                                                                                     | 2.5 kB  00:00:00    
nginx                                                                                                                                 | 2.9 kB  00:00:00    
remi-safe                                                                                                                             | 3.0 kB  00:00:00    
updates                                                                                                                               | 3.4 kB  00:00:00    
(1/10): mysql-connectors-community/x86_64/primary_db                                                                                  |  41 kB  00:00:00    
(2/10): mysql-tools-community/x86_64/primary_db                                                                                       |  58 kB  00:00:00    
(3/10): extras/7/x86_64/primary_db                                                                                                    | 205 kB  00:00:00    
(4/10): mysql57-community/x86_64/primary_db                                                                                           | 177 kB  00:00:00    
(5/10): epel/x86_64/updateinfo                                                                                                        | 976 kB  00:00:00    
(6/10): ius/x86_64/primary_db                                                                                                         | 325 kB  00:00:00    
(7/10): updates/7/x86_64/primary_db                                                                                                   | 6.4 MB  00:00:01    
(8/10): nginx/primary_db                                                                                                              |  46 kB  00:00:01    
(9/10): epel/x86_64/primary_db                                                                                                        | 6.8 MB  00:00:02    
(10/10): remi-safe/primary_db                                                                                                         | 1.6 MB  00:00:01    
Determining fastest mirrors
* base: ty1.mirror.newmediaexpress.com
* epel: ftp.riken.jp
* extras: ty1.mirror.newmediaexpress.com
* ius: hkg.mirror.rackspace.com
* remi-safe: ftp.riken.jp
* updates: ty1.mirror.newmediaexpress.com
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ certbot.noarch 0:0.31.0-2.el7 を 更新
---> パッケージ certbot.noarch 0:0.34.2-3.el7 を アップデート
--> 依存性の処理をしています: python2-certbot = 0.34.2-3.el7 のパッケージ: certbot-0.34.2-3.el7.noarch
---> パッケージ python2-certbot-nginx.noarch 0:0.22.0-1.el7 を 更新
---> パッケージ python2-certbot-nginx.noarch 0:0.34.2-1.el7 を アップデート
--> トランザクションの確認を実行しています。
---> パッケージ python2-certbot.noarch 0:0.31.0-2.el7 を 更新
---> パッケージ python2-certbot.noarch 0:0.34.2-3.el7 を アップデート
--> 依存性の処理をしています: python2-josepy >= 1.1.0 のパッケージ: python2-certbot-0.34.2-3.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ python2-josepy.noarch 0:1.0.1-1.el7 を 更新
---> パッケージ python2-josepy.noarch 0:1.1.0-1.el7 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

=============================================================================================================================================================
Package                                        アーキテクチャー                バージョン                               リポジトリー                   容量
=============================================================================================================================================================
更新します:
certbot                                        noarch                          0.34.2-3.el7                             epel                           39 k
python2-certbot-nginx                          noarch                          0.34.2-1.el7                             epel                           72 k
依存性関連での更新をします:
python2-certbot                                noarch                          0.34.2-3.el7                             epel                          556 k
python2-josepy                                 noarch                          1.1.0-1.el7                              epel                           87 k

トランザクションの要約
=============================================================================================================================================================
更新  2 パッケージ (+2 個の依存関係のパッケージ)

総ダウンロード容量: 753 k
Is this ok [y/d/N]: y
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
(1/4): certbot-0.34.2-3.el7.noarch.rpm                                                                                                |  39 kB  00:00:00    
(2/4): python2-certbot-0.34.2-3.el7.noarch.rpm                                                                                        | 556 kB  00:00:00    
(3/4): python2-certbot-nginx-0.34.2-1.el7.noarch.rpm                                                                                  |  72 kB  00:00:00    
(4/4): python2-josepy-1.1.0-1.el7.noarch.rpm                                                                                          |  87 kB  00:00:00    
-------------------------------------------------------------------------------------------------------------------------------------------------------------
合計                                                                                                                         614 kB/s | 753 kB  00:00:01    
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
 更新します              : python2-josepy-1.1.0-1.el7.noarch                                                                                            1/8
 更新します              : python2-certbot-0.34.2-3.el7.noarch                                                                                          2/8
 更新します              : certbot-0.34.2-3.el7.noarch                                                                                                  3/8
SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.31, searching for an older version.
SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.
SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.31:  No such file or directory
/sbin/load_policy:  Can't load policy:  No such file or directory
libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).
SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.31, searching for an older version.
SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.
SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.31:  No such file or directory
/sbin/load_policy:  Can't load policy:  No such file or directory
libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).
OSError: No such file or directory
 更新します              : python2-certbot-nginx-0.34.2-1.el7.noarch                                                                                    4/8
 整理中                  : python2-certbot-nginx-0.22.0-1.el7.noarch                                                                                    5/8
 整理中                  : certbot-0.31.0-2.el7.noarch                                                                                                  6/8
 整理中                  : python2-certbot-0.31.0-2.el7.noarch                                                                                          7/8
 整理中                  : python2-josepy-1.0.1-1.el7.noarch                                                                                            8/8
 検証中                  : python2-josepy-1.1.0-1.el7.noarch                                                                                            1/8
 検証中                  : python2-certbot-0.34.2-3.el7.noarch                                                                                          2/8
 検証中                  : certbot-0.34.2-3.el7.noarch                                                                                                  3/8
 検証中                  : python2-certbot-nginx-0.34.2-1.el7.noarch                                                                                    4/8
 検証中                  : python2-certbot-0.31.0-2.el7.noarch                                                                                          5/8
 検証中                  : certbot-0.31.0-2.el7.noarch                                                                                                  6/8
 検証中                  : python2-josepy-1.0.1-1.el7.noarch                                                                                            7/8
 検証中                  : python2-certbot-nginx-0.22.0-1.el7.noarch                                                                                    8/8

更新:
 certbot.noarch 0:0.34.2-3.el7                                          python2-certbot-nginx.noarch 0:0.34.2-1.el7                                        

依存性を更新しました:
 python2-certbot.noarch 0:0.34.2-3.el7                                          python2-josepy.noarch 0:1.1.0-1.el7                                        

完了しました!


run Certbot 失敗


$ sudo certbot --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: xxxx.w4c.work

180: xxxx.w4c.work
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):

63
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for xxxx.w4c.work
Waiting for verification...
Challenge failed for domain xxxx.w4c.work
http-01 challenge for xxxx.w4c.work
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
- The following errors were reported by the server:

  Domain: tipm.apm.tokyo
  Type:   unauthorized
  Detail: Invalid response from
  http://xxxx.w4c.work/.well-known/acme-challenge/xxxx
  [さくらVPSのIPアドレス]: "<!DOCTYPE html>\r\n<html>\r\n<head>\r\n    <meta
  http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\"
  />\r\n    <title>404</titl"

  To fix these errors, please make sure that your domain name was
  entered correctly and the DNS A/AAAA record(s) for that domain
  contain(s) the right IP address.


run Certbot 成功


下記ファイル作成後、777権限を付与
http://xxxx.w4c.work/.well-known/acme-challenge/xxxx

実際のファイルパス
/var/www/xxxx/w4c.work/xxxx.w4c.work/public_html/.well-known/acme-challenge/xxxx

$ sudo certbot --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: amazon-video-impressions.0mode.tokyo

180: xoops-0.w4c.work
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):

63
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for xxxx.w4c.work
Waiting for verification...
Cleaning up challenges
Resetting dropped connection: acme-v02.api.letsencrypt.org
Deploying Certificate to VirtualHost /etc/nginx/conf.d/xxxx.w4c.work.conf

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):


2
Redirecting all traffic on port 80 to ssl in /etc/nginx/conf.d/xxxx.w4c.work.conf

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://xxxx.w4c.work

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=xxxx.w4c.work
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/xxxx.w4c.work/fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live/xxxx.w4c.work/privkey.pem
  Your cert will expire on 2019-09-18. To obtain a new or tweaked
  version of this certificate in the future, simply run certbot again
  with the "certonly" option. To non-interactively renew *all* of
  your certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:

  Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
  Donating to EFF:                    https://eff.org/donate-le



Certbot - Centosrhel7 Nginx


Let's Encrypt。現時点(2019/5/22)の疑問点

Let's Encrypt 1行で結論



週間人気ページランキング / 9-19 → 9-25
順位 ページタイトル抜粋 アクセス数
1 Nginx設定。エラーログレベル | Nginx(Webサーバ) 16
2 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 15
3 PHPのmb_send_mail関数でメール送信できない | メール処理システム 11
4 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 10
5 tar: これは tar アーカイブではないようです 8
5 ImageMagick と imagick の違い | ImageMagick(ソフトウェアスイート) 8
5 さくらVPS0 8
6 manページ日本語表示 | CentOS 7 (CentOS) 7
6 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 7
7 ABRT により 問題が検出されました | CentOS 7 (CentOS) 6
7 Reached target Shutdown メッセージが表示されたあと、シャットダウンまたは再起動プロセスがハングアップする | CentOS 7 (CentOS) 6
7 PHPファイルでchmodエラー | PHP(プログラミング言語) 6
7 echo と cat の違い 6
8 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 5
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 5
8 「CentOS6」から「CentOS7」への移行 | CentOS 7 (CentOS) 5
8 「さくらVPS」で、「CentOS6」を「CentOS7」へ変更するためには? | CentOS 7 2週間無料のお試し期間 Link(さくらVPS) 5
9 6回目-10.Nginxでバーチャルホスト設定確認 | CentOS 7 2週間無料のお試し期間 6回目(さくらVPS) 4
9 cronで定期実行しているphpファイルを、コマンドライン経由で即時実行する | cron(Linuxコマンド) 4
9 MySQL 5.5 から 5.6 へのアップグレード | MySQL(データベース) 4
2021/9/26 1:01 更新