Let's Encrypt
Lets' EncryptによるSSL証明書の自動取得・自動更新に関するメモを残す。
- Let's Encrypt 自体、まだまだ未完成のところがあるので、今後の改善によっては本記述が間に合わないことがある。
- その場合は本家のドキュメントを確認して欲しい。
- 例えば、letsencrypt コマンドは今では certbot コマンドに変わっている。
- しかし FreeBSD では2016年05月29日現在、従来通り、letsencrypt コマンドのまま維持されているため、その前提で話を進める。
- また運用環境が極端に違うことから、FreeBSD 環境での解説のみとし、CentOS 環境での解説は行わない。
- 将来もう少し、環境差違が無くなってから解説するつもりある。
- 現時点では初期運用については差違が無いが、自動運転するにはやることが多すぎるためである。
インストール
- ports ないしは packages から、以下の ports をインストールする。
一般的には ports/security/letsencrypt.sh よりも ports/security/py-letsencrypt を使う事例の方が多いが、今回は使わない。
- この事情は ports メンテナの功績によるものなので:-)、他の環境でそうであるかは不明である。
準備
- いくつかのディレクトリの作成および設置ルールを決める。
- これは本家(ports/security/py-letsencrypt)の作法とは相違があるためである。
証明書の設置場所
- ports/security/letsencrypt.sh では /usr/local/etc/letsencrypt.sh/certs/コモンネーム/ 以下のファイルが設置される。
- /usr/local/etc/letsencrypt.sh/certs/コモンネーム/cert-エポックタイム.csr
- /usr/local/etc/letsencrypt.sh/certs/コモンネーム/cert-エポックタイム.pem
- /usr/local/etc/letsencrypt.sh/certs/コモンネーム/chain-エポックタイム.pem
- /usr/local/etc/letsencrypt.sh/certs/コモンネーム/fullchain-エポックタイム.pem
- /usr/local/etc/letsencrypt.sh/certs/コモンネーム/privkey-エポックタイム.pem
- これは本家の /usr/local/etc/letsencrypt/archive/コモンネーム/ に相当するディレクトリとなる。
- 設置場所についてはプログラム中に直接記載されているため、変更は不可能である。
- その代わり、シンボリックリンクで誘導することは可能。
- また、本家の /usr/local/etc/letsencrypt/live/コモンネーム/ に相当するディレクトリは無く、上記ディレクトリにて、直接、最新の証明書に対してシンボリックリンクが張られる。
# cd /usr/local/etc/letsencrypt.sh/certs/コモンネーム # ls -alF total 122 -rw------- 1 root wheel 436 May 29 06:02 cert-1464469337.csr -rw------- 1 root wheel 1533 May 29 06:02 cert-1464469337.pem lrwx------ 1 root wheel 19 May 29 06:02 cert.csr@ -> cert-1464469337.csr lrwx------ 1 root wheel 19 May 29 06:02 cert.pem@ -> cert-1464469337.pem -rw------- 1 root wheel 1647 May 29 06:02 chain-1464469337.pem lrwx------ 1 root wheel 20 May 29 06:02 chain.pem@ -> chain-1464469337.pem -rw------- 1 root wheel 3180 May 29 06:02 fullchain-1464469337.pem lrwx------ 1 root wheel 24 May 29 06:02 fullchain.pem@ -> fullchain-1464469337.pem -rw------- 1 root wheel 302 May 29 06:02 privkey-1464469337.pem lrwx------ 1 root wheel 22 May 29 06:02 privkey.pem@ -> privkey-1464469337.pem
- 例えば Apache では以下のように指定することになる。
SSLCertificateFile /usr/local/etc/letsencrypt.sh/certs/コモンネーム/fullchain.pem SSLCertificateKeyFile /usr/local/etc/letsencrypt.sh/certs/コモンネーム/privkey.pem
ドメイン所有者確認トークンディレクトリの指定
- ドメイン所有者確認トークンの設置場所(ディレクトリ)を決める。
- これはWebサーバー側の設定とも連動する話なので、その前提で決定する。
- 以下はアクセスログ(例)である。
66.133.109.36 - - [29/May/2016:06:02:21 +0900] "GET /.well-known/acme-challenge/チャレンジトークン HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
- デフォルトで /usr/local/etc/letsencrypt.sh/.acme-challenges となっている。
- 「WELLKNOWN」変数で指定が可能となる。
- 例えば、本手順の参考にしたサイト(後述の参考文献参照)では、以下のディレクトリに設定している。
mkdir -p /usr/local/apache/www/.well-known/acme-challenge
- この時、Apache(2.4)の設定は以下の通りである。
Alias /.well-known/ /usr/local/www/.well-known/ <Directory "/usr/local/www/.well-known/"> Options None AllowOverride None Require all granted Header add Content-Type text/plain </Directory>
アカウントキーの保存ディレクトリの指定
- アカウントキーと呼ばれるJSONとRSA秘密鍵の保存ディレクトリを指定する。
- 特に前者は /usr/local/etc/letsencrypt/accounts/acme-v01.api.letsencrypt.org/directory/アカウント/private_key.json と同じものである。
- デフォルトで /usr/local/etc/letsencrypt.sh/private_key.{json,pem} となる。
- これら設定は「ACCOUNT_KEY_JSON」と「ACCOUNT_KEY」設定で指定が可能である。
設定ファイル
- 上記準備と合わせて、設定ファイルに記載する。いわゆるSHなので、その記法はそれに準じる。
- 設定ファイルは /usr/local/etc/letsencrypt.sh/config.sh である。
- ports の場合、config.sh.example も合わせてインストールされるので、合わせて参照して欲しいところ。
- 色々と設定する項目はあるが、下記の設定のみ使用する。
- WELLKNOWN
- ACCOUNT_KEY
- ACCOUNT_KEY_JSON
- RENEW_DAYS
- PRIVATE_KEY_RENEW
- KEY_ALGO / KEYSIZE
- CONTACT_EMAIL
- WELLKNOWN, ACCOUNT_KEY, ACCOUNT_KEY_JSONについてはすでに解説済みなので、残りについて説明する。
- RENEW_DAYS
- 有効期限残日数を指定する。今日を基準に有効期限が指定日数未満になったら更新を行う。
- なお FreeBSD では、更新頻度そのものは毎週行われる(periodic の weekly 指定)。
- PRIVATE_KEY_RENEW
- 更新する毎に秘密鍵を作り直すか否かを指定する。
- デフォルトで「yes」である(毎回作り直す)。
- 指定可能な値は「yes」か「それ以外」かしか無いので、「Yes」と書いてもNoと解釈される。
- KEY_ALGO / KEYSIZE
- SSL証明書の鍵アルゴリズム(KEY_ALGO)と鍵サイズ(KEYSIZE)を指定する。
- KEY_ALGO での選択可能な識別子は「rsa」「prime256v1」「secp384r1」。
- KEY_ALGO が「rsa」の時に限って KEYSIZE を指定する(2048, 3072, 4096)。
- CONTACT_EMAIL
- Let's Encrypt では連絡用メールアドレスの指定が必要となるので、メールアドレスを指定する。
設定ファイル例
1 alias openssl="/usr/bin/openssl"
2
3 RENEW_DAYS="30"
4 KEY_ALGO="prime256v1"
5 PRIVATE_KEY_RENEW="yes"
6 CONTACT_EMAIL="メールアドレス"
7 WELLKNOWN="/usr/local/www/data/.well-known/acme-challenge"
8 ACCOUNT_KEY="/usr/local/etc/letsencrypt.sh/private_key.pem"
9 ACCOUNT_KEY_JSON="/usr/local/etc/letsencrypt.sh/private_key.json"