Let's EncryptでＳＳＬ証明書の新規作成と自動更新

Lets' EncryptによるＳＳＬ証明書の自動取得・自動更新に関するメモを残す。
Let's Encrypt とその周辺ツールはどんどん変わっていて、今後の改善によっては本記述が間に合わないことがある（２０１６年１０月１０日付）。
何か差違があると感じた場合は、本家のドキュメントを確認して欲しい。
また運用環境が極端に違うことから、ＦｒｅｅＢＳＤ環境での解説のみとし、ＣｅｎｔＯＳ環境での解説は行わない。
将来もう少し、環境差違が無くなってからＣｅｎｔＯＳ環境での解説を行うつもりある。

Let's EncryptでＳＳＬ証明書の新規作成と自動更新
1. py-certbot と dehydrated
インストール
準備
設定ファイル
1. 設定ファイル例
コモンネームファイル
初回実行ないしは手動更新の仕方
自動更新
1. /usr/local/etc/dehydrated/deploy.sh 例
よくある質問とその答え
参考文献

py-certbot と dehydrated

本解説では「dehydrated」を採用する。
これは以下の点から、採用した。
- bash/zsh 依存スクリプトであるため、特別な言語環境（Python）を必要としない。
- Certbotの場合、Python に依存すするくらいならまだ良いが、依存する Python モジュールが多すぎる（およそ５０モジュール）。
- dehydrated はまだ少ない（cURL のせいで増えてるが）。
- dehydrated は依存を減らせる余地がある（cURL の使用を止めて fetch(1) に置き換えてみるなど。試してないけど）。

インストール

ports ないしは packages から、以下の ports をインストールする。
- ports/security/dehydrated
- この時 py-certbot のインストールは不要である。あって動かなくなることは無いが、あっても使われない。
また、定期実行が設定ファイルで制御できるレベルで簡単である。
ただ、この事情は ports メンテナの功績によるものなので:-)、他の環境でそうであるかは不明である。

準備

いくつかのディレクトリの作成および設置ルールを決める。
これは本家（ports/security/py-certbot）の作法とは相違があるためである。

証明書の設置場所

ports/security/dehydrated では /usr/local/etc/dehydrated/certs/コモンネーム/ 以下のファイルが設置される。
- /usr/local/etc/dehydrated/certs/コモンネーム/cert-ＵＮＩＸタイム.csr
- /usr/local/etc/dehydrated/certs/コモンネーム/cert-ＵＮＩＸタイム.pem
- /usr/local/etc/dehydrated/certs/コモンネーム/chain-ＵＮＩＸタイム.pem
- /usr/local/etc/dehydrated/certs/コモンネーム/fullchain-ＵＮＩＸタイム.pem
- /usr/local/etc/dehydrated/certs/コモンネーム/privkey-ＵＮＩＸタイム.pem
これは Certbot における /usr/local/etc/letsencrypt/archive/コモンネーム/ に相当するディレクトリとなる。
設置場所についてはプログラム中に直接記載されているため、変更は不可能である。
その代わり、シンボリックリンクで誘導することは可能。
また Certbot の /usr/local/etc/letsencrypt/live/コモンネーム/ に相当するディレクトリは無く、上記ディレクトリにて、直接、最新の証明書に対してシンボリックリンクが張られる。

# cd /usr/local/etc/dehydrated/certs/コモンネーム
# ls -alF
total 122
-rw-------  1 root  wheel   436 May 29 06:02 cert-1464469337.csr
-rw-------  1 root  wheel  1533 May 29 06:02 cert-1464469337.pem
lrwx------  1 root  wheel    19 May 29 06:02 cert.csr@ -> cert-1464469337.csr
lrwx------  1 root  wheel    19 May 29 06:02 cert.pem@ -> cert-1464469337.pem
-rw-------  1 root  wheel  1647 May 29 06:02 chain-1464469337.pem
lrwx------  1 root  wheel    20 May 29 06:02 chain.pem@ -> chain-1464469337.pem
-rw-------  1 root  wheel  3180 May 29 06:02 fullchain-1464469337.pem
lrwx------  1 root  wheel    24 May 29 06:02 fullchain.pem@ -> fullchain-1464469337.pem
-rw-------  1 root  wheel   302 May 29 06:02 privkey-1464469337.pem
lrwx------  1 root  wheel    22 May 29 06:02 privkey.pem@ -> privkey-1464469337.pem

例えば Apache では以下のように指定することになる。

  SSLCertificateFile    /usr/local/etc/dehydrated/certs/コモンネーム/fullchain.pem
  SSLCertificateKeyFile /usr/local/etc/dehydrated/certs/コモンネーム/privkey.pem

ドメイン所有者確認トークンディレクトリの指定

ドメイン所有者確認トークンの設置場所（ディレクトリ）を決める。
- 「ドメイン所有者確認トークン」はドメインの所有者であること確認するための「トークン」（一時発行キー）である。
これはＷｅｂサーバー側の設定とも連動する話なので、その前提で決定する。
以下はアクセスログ（例）である。

66.133.109.36 - - [29/May/2016:06:02:21 +0900] "GET /.well-known/acme-challenge/チャレンジトークン HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

デフォルトで /usr/local/etc/dehydrated/.acme-challenges となっている。
またこの設定は「WELLKNOWN」変数で変更可能である。
このディレクトリはインストール時に設定されるので、例えば Apache（2.4）の場合、以下のように設定する。

Alias /.well-known/acme-challenge/ /usr/local/etc/dehydrated/.acme-challenges/

<Directory /usr/local/etc/dehydrated/.acme-challenges>
  Options       None
  AllowOverride None
  Require       all granted
  Header        add Content-Type text/plain
</Directory>

アカウントキーの保存ディレクトリの指定

アカウントキーと呼ばれるＪＳＯＮとＲＳＡ秘密鍵の保存ディレクトリを指定する。
特に前者は Certbot で言うところの /usr/local/etc/letsencrypt/accounts/acme-v01.api.letsencrypt.org/directory/アカウント/private_key.json と同じものである。
デフォルトで /usr/local/etc/dehydrated/private_key.{json,pem} となる。
これら設定は「ACCOUNT_KEY_JSON」と「ACCOUNT_KEY」設定で指定が可能である。

設定ファイル

上記準備と合わせて、設定ファイルに記載する。いわゆるシェルスクリプトなので、その記法はそれに準じる。
設定ファイルは /usr/local/etc/dehydrated/config.sh である。
ports の場合、config.sh.example も合わせてインストールされるので、合わせて参照して欲しいところ。
色々と設定する項目はあるが、下記の設定のみ使用する。
- WELLKNOWN
- ACCOUNT_KEY
- ACCOUNT_KEY_JSON
- RENEW_DAYS
- PRIVATE_KEY_RENEW
- KEY_ALGO / KEYSIZE
- CONTACT_EMAIL
WELLKNOWN, ACCOUNT_KEY, ACCOUNT_KEY_JSONについてはすでに解説済みなので、残りについて説明する。
RENEW_DAYS
- 有効期限残日数を指定する。今日を基準に有効期限が指定日数未満になったら更新を行う。
- なお FreeBSD では、更新頻度そのものは毎週行われる（periodic の weekly 指定）。
PRIVATE_KEY_RENEW
- 更新する毎に秘密鍵を作り直すか否かを指定する。
- デフォルトで「yes」である（毎回作り直す）。
- 指定可能な値は「yes」か「それ以外」かしか無いので、「Yes」と書いてもNoと解釈される。
- また「作り直さない」選択にメリットも無ければ推奨でもないので、ごく極めて例外的な何かが無ければ「yes」を選択すること。
KEY_ALGO / KEYSIZE
- ＳＳＬ証明書の鍵アルゴリズム（KEY_ALGO）と鍵サイズ（KEYSIZE）を指定する。
- KEY_ALGO での選択可能な識別子は「rsa」「prime256v1」「secp384r1」。
- KEY_ALGO が「rsa」の時に限って KEYSIZE を指定する（2048, 3072, 4096）。
CONTACT_EMAIL
- Let's Encrypt では連絡用メールアドレスの指定が必要となるので、メールアドレスを指定する。

設定ファイル例

   1 alias openssl="/usr/bin/openssl"
   2 
   3 RENEW_DAYS="30"
   4 KEY_ALGO="prime256v1"
   5 #KEY_ALGO="rsa" KEYSIZE="2048"
   6 PRIVATE_KEY_RENEW="yes"
   7 CONTACT_EMAIL="メールアドレス"
   8 WELLKNOWN="/usr/local/etc/dehydrated/.acme-challenges"        #デフォルト設定
   9 ACCOUNT_KEY="/usr/local/etc/dehydrated/private_key.pem"       #デフォルト設定
  10 ACCOUNT_KEY_JSON="/usr/local/etc/dehydrated/private_key.json" #デフォルト設定
  11

コモンネームファイル

発行するＳＳＬ証明書のコモンネームを列挙したファイルを作成する。
このファイル名は /usr/local/etc/dehydrated/domains.txt で指定される。
１行１証明書で、１カラム目はコモンネームとなり、２カラム目以降は SANs（Subject Alternative Names）を指定する。
以下のサンプルでは example.org, example.com の２枚の証明書を作成／更新する。

example.org www.example.org
example.com www.example.com wiki.example.com

また、「example.org」のSANとして「www.example.org」が、「example.com」のSANとして「www.example.com」と「wiki.example.com」が合わせて設定される。

初回実行ないしは手動更新の仕方

以上の設定が完了したら、コマンドを root で実行する。
-c オプションは --cron と同じ意味である。

dehydrated -c

とりあえずプログラムを読んだ限りでは環境変数汚染依存はなさそう。
正直、LANG、LC_* くらいはケアして欲しいところだけど。

自動更新

ports/security/dehydrated では定期実行に periodic(8) を採用している。
よって定期実行は /etc/periodic.conf ないしは /etc/periodic.conf.local ファイルにて設定を行う。

weekly_dehydrated_enable="YES"
weekly_dehydrated_deployscript="/usr/local/etc/dehydrated/deploy.sh"

単純に更新するだけなら、weekly_dehydrated_enable="YES" と設定するだけで良い。
更新した後、サーバーへの反映を行うスクリプトを weekly_dehydrated_deployscript で指定できる。
指定されたファイルは、実行権限（chmod +x）も必要。
ただし、証明書の更新が無くても実行されるので、厳密には証明書が更新されたか確認した方がいい。
とは言え、現地時間で毎週土曜日０４時０５分（/etc/crontab の periodic weekly 行参照のこと）に実行されるので、そのあたりはテキトーでもいいかもしれない。
dehydrated -gc は古い証明書の削除（クリーンナップ）を行う。
わざと残しておくのであれば実行は不要である。

/usr/local/etc/dehydrated/deploy.sh 例

#/bin/sh
/usr/sbin/service apache24 restart && /usr/local/bin/dehydrated -gc

よくある質問とその答え

Q. ECDSA 対応は必須？

A. 提供必須というほど、対応しているブラウザは普及してないですね。ごく最新の有名どころブラウザはともかく、四方山ブラウザを考慮するとまだまだ。サーバー側でＲＳＡとＥＣＤＳＡの両方を提案してブラウザが受け入れられる方を…という解決策も無くもないですが（使えるか知らないし興味ない）、結局ＲＳＡの鍵も作らないと行けないことには変わりないので、当面、ＲＳＡ２０４８で行くのが正解かと。

Q. ports/security/dehydrated と ports/security/py-certbot とどっちがいいですか？

A. 目標が違うのでどっちとも言えない。単純なサーバー構成（jail だの docker だの無し）で、そう複雑で無いＳＳＬ証明書の運用を行うなら、 python 依存が無い ports/security/dehydrated を使うのがシンプルと思われ。

【要検証】もう一つ、ports/security/dehydrated にメリットがあるとすれば、現状（py-letsencrypt は 0.5.0）では ECDSA で証明書を作成・更新するのが手間である点くらい（最新の py-certbot 0.8.1 では未検証）。

Q. 下記のように所有者確認アクセスに失敗、証明書が更新されません！

66.133.109.36 - - [29/May/2016:04:45:29 +0900] "GET /.well-known/acme-challenge/チャレンジトークン HTTP/1.1" 404 268 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

A. Ｗｅｂサーバーの設定ミスの可能性があります！自分は }と最後に「/」を入れ忘れていました！このケースでは Alias の第一、第二引数ともに最後に「/」を含める必要がある。

他にも良くありそうなのが、設定した後にサーバー再起動（ないしは再読み込み）を忘れていたなどが考えられる。

あとリカバリとして、更新に失敗して残ってるＣＳＲや秘密鍵を削除するのに dehydrated -gc を実施すること。

certificate/レッツエンクリプトでＳＳＬ証明書の新規取得と自動更新（http-01編）