Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Let's EncryptでSSL証明書を自動更新

yukitkns
September 01, 2024
1
5

Let's EncryptでSSL証明書を自動更新

yukitkns

September 01, 2024
Tweet

More Decks by yukitkns

See All by yukitkns
OCI Stack Monitoringでリソース監視をする
yukitkns
1
28
WAFログの推奨ルールを確認する
yukitkns
0
34
OCI ロギングでカスタム・ログを収集する
yukitkns
1
260
多段接続について
yukitkns
0
32
「寺子屋Oracle Cloud:Win Story研究会 『ハイブリッドクラウド・マルチクラウド』」 に参加してみて
yukitkns
1
28
開発未経験者がはじめて DevOpsを触ってみた
yukitkns
0
110
「寺子屋Oracle Cloud:Win Story研究会 『OCVSのリフト案件』」 に参加してみて
yukitkns
0
47
ここがスゴいよ、OCM!!
yukitkns
1
120

Featured

See All Featured
Writing Fast Ruby
sferik
626
61k
Practical Orchestrator
shlominoach
186
10k
Making Projects Easy
brettharned
115
5.9k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.6k
Raft: Consensus for Rubyists
vanstee
136
6.6k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Fireside Chat
paigeccino
32
3k
Building Your Own Lightsaber
phodgson
102
6k
We Have a Design System, Now What?
morganepeng
50
7.2k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Building Better People: How to give real-time feedback that sticks.
wjessup
363
19k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k

Transcript

  1. Let’s EncryptでSSL証明 書を自動更新

  2. 今回やりたいこと • Let’s Encrypt でSSL証明書を取得 • その後に自動更新ができるかどうか確認を行う

  3. Let’s Encrypt とは? • 2014年に作られた非営利のルート認証局 • ACME(Automatic Certificate Management Environment)プロトコルを使用したSSL

    証明書の自動発行/更新システムを運営 • 誰でも無料でSSL証明書を作ることができるのが最大の特徴 →運用費用は寄付によって賄われているから、無料で取得できることが可能 • 3億のWebサイトにSSL証明書を発行(2022年末時点)

  4. Let’s Encrypt の認証方法について • Let’s Encrypt は Certbot を使用してSSL証明書を取得 Certbot…SSL証明書を発行・管理するためのオープンソースのツール

    • Let’s Encrypt から証明書を取得する際には、ACME 標準で定義された「チャレン ジ」を使用。 • 証明書が証明しようとしているドメイン名があなたの管理下にあることを検証。 • チャレンジには2種類の認証方法がある。 • HTTPチャレンジ • DNSチャレンジ

  5. HTTPチャレンジ • 現在最も多く使われているチャレンジ • Let’s Encrypt は ACME クライアントにトークンを発行、 ACME

    クライアントは ウェブサーバー上のhttp://<YOUR_DOMAIN>/.well-known/acme- challenge/<TOKEN>という場所に1つのファイルを設置 • 自動更新の場合は、明示的に配置する必要はなく、トークンを自動更新してくれる • ACME クライアントがLet’s Encrypt にファイルが準備できたことを伝えると、Let’s Encrypt はそのファイルを取得 • 正当なレスポンスが得られた場合、検証は成功したとみなされ、証明書の発行に進 むことができる。

  6. DNSチャレンジ • ドメイン名が登録されている DNS があなたの管理下であることを証明するために は、ドメイン名の TXT レコードに特定の値を設定する必要がある。 • Let’s

    Encrypt は ACME クライアントにトークンを提供し、クライアントは、この トークンとあなたのアカウントの鍵を使用して TXT レコードを生成。 • そのレコードを DNS の_acme-challenge.<YOUR_DOMAIN>に設定。 • その後、Let’s Encrypt が DNS システムにそのレコードを照会し、正しい値と一致 すれば、証明書の発行が可能となる。

  7. 両チャレンジの利点 • HTTPチャレンジ • 簡単に証明書を取得できる • DNSチャレンジ • ワイルドカード証明書を発行可能

  8. SSL証明書取得の流れ ① サーバ内で秘密鍵を作り、秘密鍵から CSR(Certificate Service Request)を作成。 ② 認証局へサーバ証明書の発行申請としてCSRを 送付。 ③

    各種認証後、秘密鍵で署名したサーバ証明書 を作成。 ④ 申請者へサーバ証明書として送付。

  9. Let’s EncryptでSSL証明書を発行するまでの手 順 1. Snapのインストール 2. Certbotのインストール 3. SSL証明書を作成 4.

    HTTPSの有効化 5. SSL証明書の自動更新 ※今回はApacheを使用。 ここからは先日私が投稿したQiita記事の内容を元に説明

  10. Let’s Encrypt 特有の仕様について (チャレンジの種類は問わず) • 同一コモンネームの制限 同一コモンネームの発行可能数が週5枚まで • 登録ドメイン数制限 1つのドメインにつき週50枚までの制限

    ここでのドメインはFQDNではなくルートドメイン 例えば、sub.example.jp と sub2.example.jp と sub3.example.jp の SSL証明書を発行する場合、カウントは3となる

  11. 最後に • 今回投稿した記事は以下のURLとなっています。 「Let‘s Encrypt で SSL証明書を自動更新」 https://qiita.com/yukitkns/items/fb49bbd6f9cc289ecaac • 以前Cloudii

    の方にもLet’s Encrypt についてを取り上げています ので合わせて確認お願いします。 「DNS-OCIプラグインを使ったSSL証明書の取得方法につい て」 https://cloudii.jp/news/blog/oracle-cloud/dns-oci-ssl/