Tokaido LUG 2016.02.20

東海道らぐ 2016年2月オフな集まり

自己紹介 lあひる lNitech lTwitter lEJUG

Let’s Encrypt の導入 lオレオレSSLよさらば lLet’s Encrypt とは l導入方法 lデモ https://letsencrypt.org

オレオレSSLよさらばこんにちはLET’S ENCRYPT

オレオレSSLよさらば

ようこそLET’S ENCRYPT

Let’s Encrypt とはついでに利点・欠点適当に

Let’s Encrypt とはドメイン認証のSSLサーバ証明書を無料で発行してくれる認証局(CA) Internet Security Research Group (ISRG)が運営している üIRSGはMozilla,
Akamai, Ciscoなどが参加している公益法人参考URL: https://letsencrypt.org/about/ https://letsencrypt.org/isrg/

利点 l無料でSSL証明書が手に入る l更新が自動化ができ、楽 lAppleのATS(App Transport Security)などもパスできる

欠点 lwebrootでポートの指定ができない(80番ポートに固定されてる) l有効期限が90日と短い

導入方法超簡単

インストール ~$ git clone https://github.com/letsencrypt/letsencrypt ~$ cd letsencrypt ~/letsencrypt$ ./letsencrypt-auto
--help

ＳＳＬの取得の方法 lapache lnginx lmanual lstandalone lwebroot ← メインで

apache lApache 2.4 への証明書のインストールを自動的に行ってくれる

nginx lテスト段階のプラグインのため未検証 lおそらく Apache プラグインと同様の仕組み(を期待する) lletsencrypt-auto でインストールされない(公式のDocより)

manual lドメイン認証を手動で行う l指定された認証用ファイルを対象のサーバのドキュメントルート以下に手動で設置する lサーバ証明書を使用するWebサーバ以外で取得ができる

standalone lSSL/TLS サーバ証明書の取得のみを行う lletsencrypt が一時的にWebサーバを建てて証明書を取得 l認証時にletsencryptのサーバがTCP80か443ポートを使うので、該当ポートでWebサーバを起動している場合は、一旦止める必要がある

webroot l起動中のWebサーバのドキュメントルートに認証用のファイルを自動で設置し証明書の取得を行う l起動中のWebサーバを止める必要がない(取得だけなら) l更新した証明書の読み込みのためのWebサーバの再起動は必要

webroot を用いた証明書取得の例

証明書の場所 l/etc/letsencrypt/live/ドメイン名/ に以下の4種類が設置される l証明書 lcert.pem l証明書＋中間CA証明書 lfullchain.pem l秘密鍵 lprivKey.pem l中間CA証明書
lchain.pem

設置

設置 lssl_certificate には fullchain.pem を使用する lcert.pem を使用するとブラウザによっては中間CA がないとおこられるので注意(ちゃんと
chain.pem を設定している場合は多分大丈夫)

更新 l~/letsencrypt$ letsencrypt-auto renew --force-renew lドメインごとの更新はまだ対応していない(全部のドメインの更新になる) lドメインごとに更新したい場合は初回取得時のように certonly で
行う l60日に一回cronあたりでこのコマンドを実行させればよさそう l公式が更新スクリプトの公開をしている

更新 https://letsencrypt.org/howitworks/ より

デモ

参考リンク公式 lhttps://letsencrypt.org/ lhttps://letsencrypt.org/howitworks/ lhttp://letsencrypt.readthedocs.org/en/latest/using.html 非公式 lhttps://letsencrypt.jp/usage/ (日本語) lhttps://blog.apar.jp/linux/3619/ (使ってみたブログ)

ご清聴ありがとうございました

Tokaido LUG 2016.02.20

Tokaido LUG 2016.02.20

ahiru

More Decks by ahiru

Other Decks in Technology

Featured

Transcript

東海道らぐ 2016年2月オフな集まり

自己紹介 lあひる lNitech lTwitter lEJUG

Let’s Encrypt の導入 lオレオレSSLよさらば lLet’s Encrypt とは l導入方法 lデモ https://letsencrypt.org

オレオレSSLよさらばこんにちはLET’S ENCRYPT

オレオレSSLよさらば

ようこそLET’S ENCRYPT

Let’s Encrypt とはついでに利点・欠点適当に

Let’s Encrypt とはドメイン認証のSSLサーバ証明書を無料で発行してくれる認証局(CA) Internet Security Research Group (ISRG)が運営している üIRSGはMozilla,

利点 l無料でSSL証明書が手に入る l更新が自動化ができ、楽 lAppleのATS(App Transport Security)などもパスできる

欠点 lwebrootでポートの指定ができない(80番ポートに固定されてる) l有効期限が90日と短い

導入方法超簡単

インストール ~$ git clone https://github.com/letsencrypt/letsencrypt ~$ cd letsencrypt ~/letsencrypt$ ./letsencrypt-auto

ＳＳＬの取得の方法 lapache lnginx lmanual lstandalone lwebroot ← メインで

apache lApache 2.4 への証明書のインストールを自動的に行ってくれる

nginx lテスト段階のプラグインのため未検証 lおそらく Apache プラグインと同様の仕組み(を期待する) lletsencrypt-auto でインストールされない(公式のDocより)

manual lドメイン認証を手動で行う l指定された認証用ファイルを対象のサーバのドキュメントルート以下に手動で設置する lサーバ証明書を使用するWebサーバ以外で取得ができる

webroot l起動中のWebサーバのドキュメントルートに認証用のファイルを自動で設置し証明書の取得を行う l起動中のWebサーバを止める必要がない(取得だけなら) l更新した証明書の読み込みのためのWebサーバの再起動は必要

webroot を用いた証明書取得の例

証明書の場所 l/etc/letsencrypt/live/ドメイン名/ に以下の4種類が設置される l証明書 lcert.pem l証明書＋中間CA証明書 lfullchain.pem l秘密鍵 lprivKey.pem l中間CA証明書

設置

設置 lssl_certificate には fullchain.pem を使用する lcert.pem を使用するとブラウザによっては中間CA がないとおこられるので注意(ちゃんと

更新 l~/letsencrypt$ letsencrypt-auto renew --force-renew lドメインごとの更新はまだ対応していない(全部のドメインの更新になる) lドメインごとに更新したい場合は初回取得時のように certonly で

更新 https://letsencrypt.org/howitworks/ より

デモ

参考リンク公式 lhttps://letsencrypt.org/ lhttps://letsencrypt.org/howitworks/ lhttp://letsencrypt.readthedocs.org/en/latest/using.html 非公式 lhttps://letsencrypt.jp/usage/ (日本語) lhttps://blog.apar.jp/linux/3619/ (使ってみたブログ)

ご清聴ありがとうございました