Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Let's EncryptでSSL証明書を自動更新

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for yukitkns yukitkns
September 01, 2024
1
45

Let's EncryptでSSL証明書を自動更新

Avatar for yukitkns

yukitkns

September 01, 2024
Tweet

More Decks by yukitkns

See All by yukitkns
OCI Stack Monitoringでリソース監視をする
Avatar for yukitkns yukitkns
1
620
WAFログの推奨ルールを確認する
Avatar for yukitkns yukitkns
0
52
OCI ロギングでカスタム・ログを収集する
Avatar for yukitkns yukitkns
1
710
多段接続について
Avatar for yukitkns yukitkns
0
59
「寺子屋Oracle Cloud:Win Story研究会 『ハイブリッドクラウド・マルチクラウド』」 に参加してみて
Avatar for yukitkns yukitkns
1
100
開発未経験者がはじめて DevOpsを触ってみた
Avatar for yukitkns yukitkns
0
150
「寺子屋Oracle Cloud:Win Story研究会 『OCVSのリフト案件』」 に参加してみて
Avatar for yukitkns yukitkns
0
140
ここがスゴいよ、OCM!!
Avatar for yukitkns yukitkns
1
160

Featured

See All Featured
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
180
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.6k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1k
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
3.6k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
170
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
260
Claude Code のすすめ
Avatar for schroneko schroneko
67
210k
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
130
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
740

Transcript

  1. Let’s EncryptでSSL証明 書を自動更新

  2. 今回やりたいこと • Let’s Encrypt でSSL証明書を取得 • その後に自動更新ができるかどうか確認を行う

  3. Let’s Encrypt とは? • 2014年に作られた非営利のルート認証局 • ACME(Automatic Certificate Management Environment)プロトコルを使用したSSL

    証明書の自動発行/更新システムを運営 • 誰でも無料でSSL証明書を作ることができるのが最大の特徴 →運用費用は寄付によって賄われているから、無料で取得できることが可能 • 3億のWebサイトにSSL証明書を発行(2022年末時点)

  4. Let’s Encrypt の認証方法について • Let’s Encrypt は Certbot を使用してSSL証明書を取得 Certbot…SSL証明書を発行・管理するためのオープンソースのツール

    • Let’s Encrypt から証明書を取得する際には、ACME 標準で定義された「チャレン ジ」を使用。 • 証明書が証明しようとしているドメイン名があなたの管理下にあることを検証。 • チャレンジには2種類の認証方法がある。 • HTTPチャレンジ • DNSチャレンジ

  5. HTTPチャレンジ • 現在最も多く使われているチャレンジ • Let’s Encrypt は ACME クライアントにトークンを発行、 ACME

    クライアントは ウェブサーバー上のhttp://<YOUR_DOMAIN>/.well-known/acme- challenge/<TOKEN>という場所に1つのファイルを設置 • 自動更新の場合は、明示的に配置する必要はなく、トークンを自動更新してくれる • ACME クライアントがLet’s Encrypt にファイルが準備できたことを伝えると、Let’s Encrypt はそのファイルを取得 • 正当なレスポンスが得られた場合、検証は成功したとみなされ、証明書の発行に進 むことができる。

  6. DNSチャレンジ • ドメイン名が登録されている DNS があなたの管理下であることを証明するために は、ドメイン名の TXT レコードに特定の値を設定する必要がある。 • Let’s

    Encrypt は ACME クライアントにトークンを提供し、クライアントは、この トークンとあなたのアカウントの鍵を使用して TXT レコードを生成。 • そのレコードを DNS の_acme-challenge.<YOUR_DOMAIN>に設定。 • その後、Let’s Encrypt が DNS システムにそのレコードを照会し、正しい値と一致 すれば、証明書の発行が可能となる。

  7. 両チャレンジの利点 • HTTPチャレンジ • 簡単に証明書を取得できる • DNSチャレンジ • ワイルドカード証明書を発行可能

  8. SSL証明書取得の流れ ① サーバ内で秘密鍵を作り、秘密鍵から CSR(Certificate Service Request)を作成。 ② 認証局へサーバ証明書の発行申請としてCSRを 送付。 ③

    各種認証後、秘密鍵で署名したサーバ証明書 を作成。 ④ 申請者へサーバ証明書として送付。

  9. Let’s EncryptでSSL証明書を発行するまでの手 順 1. Snapのインストール 2. Certbotのインストール 3. SSL証明書を作成 4.

    HTTPSの有効化 5. SSL証明書の自動更新 ※今回はApacheを使用。 ここからは先日私が投稿したQiita記事の内容を元に説明

  10. Let’s Encrypt 特有の仕様について (チャレンジの種類は問わず) • 同一コモンネームの制限 同一コモンネームの発行可能数が週5枚まで • 登録ドメイン数制限 1つのドメインにつき週50枚までの制限

    ここでのドメインはFQDNではなくルートドメイン 例えば、sub.example.jp と sub2.example.jp と sub3.example.jp の SSL証明書を発行する場合、カウントは3となる

  11. 最後に • 今回投稿した記事は以下のURLとなっています。 「Let‘s Encrypt で SSL証明書を自動更新」 https://qiita.com/yukitkns/items/fb49bbd6f9cc289ecaac • 以前Cloudii

    の方にもLet’s Encrypt についてを取り上げています ので合わせて確認お願いします。 「DNS-OCIプラグインを使ったSSL証明書の取得方法につい て」 https://cloudii.jp/news/blog/oracle-cloud/dns-oci-ssl/