Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Tokaido LUG 2016.02.20

ahiru
February 20, 2016

Tokaido LUG 2016.02.20

東海道らぐ 2016年2月オフな集まり

ahiru

February 20, 2016
Tweet

More Decks by ahiru

Other Decks in Technology

Transcript

  1. 東海道らぐ
    2016年2月オフな集まり

    View full-size slide

  2. 自己紹介
    lあひる
    lNitech
    lTwitter
    lEJUG

    View full-size slide

  3. Let’s Encrypt の導入
    lオレオレSSLよさらば
    lLet’s Encrypt とは
    l導入方法
    lデモ
    https://letsencrypt.org

    View full-size slide

  4. オレオレSSLよさらば
    こんにちはLET’S ENCRYPT

    View full-size slide

  5. オレオレSSLよさらば

    View full-size slide

  6. ようこそLET’S ENCRYPT

    View full-size slide

  7. Let’s Encrypt とは
    ついでに利点・欠点適当に

    View full-size slide

  8. Let’s Encrypt とは
    ドメイン認証のSSLサーバ証明書を無料で発行してくれる認証局(CA)
    Internet Security Research Group (ISRG)が運営している
    üIRSGはMozilla, Akamai, Ciscoなどが参加している公益法人
    参考URL:
    https://letsencrypt.org/about/
    https://letsencrypt.org/isrg/

    View full-size slide

  9. 利点
    l無料でSSL証明書が手に入る
    l更新が自動化ができ、楽
    lAppleのATS(App Transport Security)などもパスできる

    View full-size slide

  10. 欠点
    lwebrootでポートの指定ができない(80番ポートに固定されてる)
    l有効期限が90日と短い

    View full-size slide

  11. 導入方法
    超簡単

    View full-size slide

  12. インストール
    ~$ git clone https://github.com/letsencrypt/letsencrypt
    ~$ cd letsencrypt
    ~/letsencrypt$ ./letsencrypt-auto --help

    View full-size slide

  13. SSLの取得の方法
    lapache
    lnginx
    lmanual
    lstandalone
    lwebroot ← メインで

    View full-size slide

  14. apache
    lApache 2.4 への証明書のインストールを自動的に行ってくれる

    View full-size slide

  15. nginx
    lテスト段階のプラグインのため未検証
    lおそらく Apache プラグインと同様の仕組み(を期待する)
    lletsencrypt-auto でインストールされない(公式のDocより)

    View full-size slide

  16. manual
    lドメイン認証を手動で行う
    l指定された認証用ファイルを対象のサーバのドキュメントルート以
    下に手動で設置する
    lサーバ証明書を使用するWebサーバ以外で取得ができる

    View full-size slide

  17. standalone
    lSSL/TLS サーバ証明書の取得のみを行う
    lletsencrypt が一時的にWebサーバを建てて証明書を取得
    l認証時にletsencryptのサーバがTCP80か443ポートを使うので、該
    当ポートでWebサーバを起動している場合は、一旦止める必要が
    ある

    View full-size slide

  18. webroot
    l起動中のWebサーバのドキュメントルートに認証用のファイルを自
    動で設置し証明書の取得を行う
    l起動中のWebサーバを止める必要がない(取得だけなら)
    l更新した証明書の読み込みのためのWebサーバの再起動は必要

    View full-size slide

  19. webroot を用いた証明書取得の例

    View full-size slide

  20. 証明書の場所
    l/etc/letsencrypt/live/ドメイン名/ に以下の4種類が設置される
    l証明書
    lcert.pem
    l証明書+中間CA証明書
    lfullchain.pem
    l秘密鍵
    lprivKey.pem
    l中間CA証明書
    lchain.pem

    View full-size slide

  21. 設置
    lssl_certificate には fullchain.pem を使用する
    lcert.pem を使用するとブラウザによっては 中間CA がないとおこら
    れるので注意(ちゃんと chain.pem を設定している場合は多分大丈
    夫)

    View full-size slide

  22. 更新
    l~/letsencrypt$ letsencrypt-auto renew --force-renew
    lドメインごとの更新はまだ対応していない(全部のドメインの更新に
    なる)
    lドメインごとに更新したい場合は初回取得時のように certonly で
    行う
    l60日に一回cronあたりでこのコマンドを実行させればよさそう
    l公式が更新スクリプトの公開をしている

    View full-size slide

  23. 更新
    https://letsencrypt.org/howitworks/ より

    View full-size slide

  24. 参考リンク
    公式
    lhttps://letsencrypt.org/
    lhttps://letsencrypt.org/howitworks/
    lhttp://letsencrypt.readthedocs.org/en/latest/using.html
    非公式
    lhttps://letsencrypt.jp/usage/ (日本語)
    lhttps://blog.apar.jp/linux/3619/ (使ってみたブログ)

    View full-size slide

  25. ご清聴ありがとうございました

    View full-size slide