【メモ】let’s encrypt で複数ホスト名対応なSSL証明書を作る

概要 サブドメインを追加した場合に追加されたサブドメインに対してもSSL証明書を発行して安全な通信をしたいということで、複数のマルチドメインに対応したSSL証明書の発行方法について調べてみました。     記事   マルチドメインに対応したSSL証明書を作成する場合、ワイルドカードとSANという二つの方法があるようです。 ワイルドカードとは文字通りワイルドカードに指定されたところ(例えばサブドメイン)が何に変わっても対応するものです。一方、SANはコモンネームという基本のドメイン名とその別名という形で複数ドメインを指定することができるようです。SANはSSL証明書を作成する段階であらかじめ指定されたドメインしか対応しません。新しくドメインが増える場合はその都度新しいSSL証明書を発行しなおす必要があります。 let’s encryptでは、ワイルドカード・SANどちらの方法でも複数ドメインに対応するSSL証明書を発行できるようになりました。 今回は従来から存在するSANを活用した複数ドメイン対応のSSLを発行します。   スクリプト   ※let’s encryptのインストールがまだの場合は、総合ポータルサイト(https://letsencrypt.jp/usage/)などを参考にして、certbot(certbot -auto)コマンドをインストールしてください。   ① let’s encryptで作成されたSSL証明書が格納されているフォルダを圧縮してバックアップを取っておきます 格納場所⇒/etc/letsencrypt/   ② 次に、下記の各フォルダに格納されている現在のドメイン名と同じフォルダ名を削除またはリネームします。 格納場所1⇒/etc/letsencrypt/live/ 格納場所2⇒/etc/letsencrypt/renewal/ 格納場所3⇒/etc/letsencrypt/archive/   ③ 下記のスクリプトをコマンドライン上で実行します   【オプション名】 -w ドキュメントルートを指定 -d ドメイン名を指定(複数指定したい場合は、-dを複数指定する)     参考 サーバー移転(引越し)でLet’s Encrypt 「SSL/TLSサーバ証明書」はどうする? https://letsencrypt.jp/  

Continue reading …

【SSL】Lets encryptの証明書を更新しました

          概要   Lets encryptから証明書の残り期限があとわずかとのメールが届いたので更新処理を行いました。 SSLの目的は暗号化と信頼できる審査機関から認証してもらうことが目的です。少し前までは、SSL証明書を取得しようとすると年間何万円もしていましたが、いまでは手続きが簡略化されてかなりやすく取得できるところも増えてきました。 最近ではLets encryptのような無料の認証局も増えてきましたので、とりあえずSSLで暗号化だけしたいというときには便利です。昔は「オレオレ証明書」といって自分で自分を証明するようなことをしていましたが、もうその必要はなさそうです。 オレオレ証明書の場合は、ブラウザに危険なサイトと判断されてしまいますが、Lets encryptを利用していると安全なサイトと認識してもらえるようです。 しかし、Lets Encryptで審査を受けずに作成したSSL証明書が安全と判断されると本当に安全かどうかわからなくなります。。。         環境   KUSANAGI for IDCF クラウド KUSANAGI for IDCF クラウド         更新コマンドについて     基本コマンド   Certbot クライアントを使用することで、HTTPS / TLS / SSL の証明書を、取得したりインストールしたりすることができます。 certbot-auto [サブコマンド] [オプション] [-d[…続きを読む]

Continue reading …