Network ＞ SSL ＞ Let's Encrypt

Let's Encryptとは？ †

https://ja.wikipedia.org/wiki/Let%27s_Encrypt

Let's Encrypt（レッツ・エンクリプト）は、2016年4月に正式に開始された認証局である。
自動化された発行プロセスにより、TLSのX.509証明書の発行を無料で行っている。

Let's Encryptは、すべてのWebサーバへの接続を暗号化することを目指したプロジェクトである。
LinuxのWebサーバーでは、HTTPSの暗号化の設定および証明書の入手・更新がわずか2つのコマンドによって可能である。

公式サイト †

• Let's Encrypt - Free SSL/TLS Certificates
  https://letsencrypt.org/

リファレンス ／ チュートリアル †

• Let's Encrypt 総合ポータル
  https://letsencrypt.jp/

• Let’s EncryptのSSL証明書で、安全なウェブサイトを公開 | さくらのナレッジ
  https://knowledge.sakura.ad.jp/5573/

• Let's Encryptの証明書をnginxに設定してhttps化した | tsuchikazu blog
  https://tsuchikazu.net/lets-encrypt-nginx/

• 無料でHTTPS化できる「Let's Encrypt」をやってみた ※install.sh付き - Qiita
  https://qiita.com/daiki_44/items/a3616390f277722b97e0

サブドメイン †

• Let's Encryptでサブドメインをまとめてhttpsにする - console.lealog();
  https://lealog.hateblo.jp/entry/2016/12/01/151627

• Let's EncryptのSSL証明書にサブドメインもSSL対応に追加する | デザインサプライ-DesignSupply.-
  https://designsupply-web.com/developmentlab/3542/

• Let's Encryptで複数サブドメインの証明書を発行して自動更新を設定する - Qiita
  https://qiita.com/highdrac/items/5087375871a3e9a677f2

• NginxでLet’s Encryptを使うためのメモ書き | work.log
  https://worklog.be/archives/3352

ライブラリー ／ フレームワーク †

Tips †

SSL証明書の自動更新 †

1. 更新するコマンドをテストする。
2. うまくいったらcronで自動的に定期実行する。

（参考）

• Let's Encryptを使ってSSL証明書を自動更新する(AWS/Amazon Linux/Apache) - Qiita https://qiita.com/takahiko/items/a08895550727b95b6c36
• Let’s Encryptの自動更新をcron化したけど地味に苦労した話 | Shimabox Blog https://blog.shimabox.net/2018/10/02/run_letsencrypt_automatic_update_with_cron/
• クーロン(cron)をさわってみるお - Qiita https://qiita.com/katsukii/items/d5f90a6e4592d1414f99
• すぐわかる！viの保存と終了の方法【Linux基礎知識】 https://eng-entrance.com/linux-vi-save

更新するコマンドをテストする。 †

$ sudo /path/to/certbot/certbot-auto renew --dry-run --post-hook "sudo service nginx restart"

• 自分の環境に合わせて、パスを変える。
• Nginxを使っている場合は、Nginxを再起動させるコマンドを書く。
• テストでは「--dry-run」オプションを付けているが、本番では不要。

うまくいったらcronで自動的に定期実行する。 †

cronの動作を確認して、動いてなければcronを起動させる。

起動しているか確認します。

$ service crond status

起動していなければ起動します。

$ sudo service crond start

rootになってcronを設定する。

# vi /etc/cron.d/letsencrypt

以下のような内容を書く。

# Run Let's Encrypt update once a week on Sunday at 4am by default
0 4 * * 7 root /path/to/certbot/certbot-auto renew --post-hook "service nginx restart"

• 自分の環境に合わせて、パスを変える。

これでうまくいけばOK！

参考書 †

プロフェッショナルSSL/TLS Ivan Ristić ラムダノート 2018-06-04 ￥ 5,399