在宅プログラマーの備忘録として2005年に始めたブログです。
certbot renewでエラーが出るドメインがありました。
いろいろと試すたびにエラーの種類が変わり、最終的に
|
1 |
Type: unauthorized |
このエラーに落ち着きました。
いろいろ調べて試しても解決できなかったのですが、
私の場合、ウェブルートをオプションで明示的に指定すると解決しました。
|
1 |
--webroot -w (ウェブルートを指定) |
一度手動で成功すれば、後日
|
1 |
certbot renew |
で一括更新してもうまくいきました。
CentOS5でシステムを運用しています。2010年にリリースしたシステムです。
新しいOSに乗り換えるべきなんですが、いろいろと複雑な事情があり、もう少し延命しなければなりません。
このシステムのSSL証明書を、無料のLet’s Encryptで取得することになりました。
Let’s Encryptについての記事はこちら
また、同じサーバー上で、
本番環境の「www.ドメイン名」とステージング環境の「stage.ドメイン名」が動いており、
マルチドメイン証明書を取得することにしました。
しかし、OSが古いことが原因で、途中さまざまな壁にあたり、都度、対処が必要でした。
以下、備忘録です。
まず、Let’s Encryptを利用するために公式の「certbot」というツールがあるのですが、
これがCentOS6以降でないと使えません。
いきなりの壁です。
しかし、CentOS5でも使える「dehydrated」という非公式のツールがありますので
こちらを使ってSSL証明書を取得することにします。
dehydratedはgitでインストールしますが、
CentOS5では標準でgitはありません。
そこでgitのインストールから始めます。
CentOS5にgitをインストールするため、EPELリポジトリを追加します。
しかし、ここでまた問題が。
CentOS5は2017年3月31日でサポートが終了したため
公開していたミラーサイトからリポジトリが削除されています。
そこで、古いOSをyumリポジトリとして公開している
http://vault.centos.org/
というサイトがありますので
そこをyumリポジトリに追加してgitをインストールします。
|
1 |
/etc/yum.repos.d/CentOS-Base.repo |
を開きます。
|
1 |
mirrorlist=(省略) |
という行がいくつかあります。
この行をコメントアウトし、代わりに次の行を追加します。
|
1 |
baseurl=http://vault.centos.org/5.5/os/$basearch/ |
6箇所くらいあるので、それぞれ、上記の変更を行います。
私の環境はCentOS5.5ですので上記のディレクトリに「/5.5/」とありますが、
ここはバージョンによって適宜変更してください。
これでリポジトリが登録できたことになっているので、
yumでgitをインストールします。
|
1 |
yum install --enablerepo=epel git |
gitがインストール出来たら、やっと目的のツール「dehydrated」のインストールです。
|
1 |
git clone https://github.com/lukas2511/dehydrated.git |
インストールできたら、さっそくdehydratedを使ってSSL証明書を取得してみます。
まず、一時ディレクトリを作成します。
|
1 2 |
cd /var/www mkdir dehydrated |
次にApacheの設定ファイルを作成します。
|
1 2 |
cd /etc/httpd/conf.d vi dehydrated.conf |
dehydrated.confの内容は下記のとおりです。
|
1 2 3 |
Alias /.well-known/acme-challenge /var/www/dehydrated <Directory /var/www/dehydrated/> </Directory> |
ここまででApacheを再起動します。
次に、dehydratedの設定ファイルを作成します。
dehydratedをインストールした場所に移動し、
|
1 |
cp docs/examples/confg ./ |
同じディレクトリにdomains.txtというファイルを作成します。
|
1 |
vi domains.txt |
このファイルには、SSL証明書を発行するドメインを記述します。
このとき、行を分けて複数のドメインを記述すると
ドメインごとに証明書が発行されますが、
1行にスペース区切りで複数のドメインを記述すると
1つのマルチドメイン証明書として発行されます。
今回は目的だったマルチドメイン証明書の記述を行います。
|
1 |
www.ドメイン名 stage.ドメイン名 |
最初に記述したドメインがコモンネームとなります。
そして、証明書発行の前に、アカウントを登録する必要があります。
|
1 |
./dehydrated --config /~/dehydrated/config --register --accept-terms |
Done!と表示されたら完了です。
いよいよ証明書の発行です。
|
1 |
./dehydrated --config ./config --cron |
Done!と表示されたら証明書の発行完了です。
準備が大変でしたが、あっけなく発行できました。
あとは、ApacheのVirtualHostの設定で
複数のドメインに対して証明書ファイルを設定します。
いろんな書き方があると思いますが
私はssl.confにすべて記述しています。
ssl.conf(一部)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
NameVirtualHost *:443 <VirtualHost *:443> ServerName www.ドメイン名:443 SSLCertificateChainFile /root/dehydrated/certs/www.ドメイン名/chain.pem SSLCertificateFile /root/dehydrated/certs/www.ドメイン名/fullchain.pem SSLCertificateKeyFile /root/dehydrated/certs/www.ドメイン名/privkey.pem ~略~ </VirtualHost> <VirtualHost *:443> ServerName stage.ドメイン名:443 SSLCertificateChainFile /root/dehydrated/certs/www.ドメイン名/chain.pem SSLCertificateFile /root/dehydrated/certs/www.ドメイン名/fullchain.pem SSLCertificateKeyFile /root/dehydrated/certs/www.ドメイン名/privkey.pem ~略~ </VirtualHost> |
Apacheを再起動して完了です。
あとは、自動更新の設定ですが、cronで以下のようなコマンドを実行するだけです。
|
1 |
0 4 1 * * /インストール場所/dehydrated/dehydrated --config /インストール場所/dehydrated/config --cron >> /tmp/ログ名.log 2>&1 |
これで証明書の更新も勝手にやってくれます。たまにログは確認しましょう。
これでCentOS5でもLet’s Encryptでマルチドメイン証明書が利用できました。
無料ってのがすごいですね。
昔はSSL証明書は個人が気軽に導入できるような安いものはありませんでした。
今は千円くらいで取得できるものがあるので個人でも気軽に取得できますよね。
そしてとうとう、SSL証明書は無料で取得できる時代になったようです。
開発サーバー(CentOS6.5)で取得してみました。
(上記の公式サイトで環境ごとに導入方法の説明があります)
まず、EPELリポジトリの追加が必要だそうです。
|
1 |
yum install epel-release |
これはすでに追加済みでした。
次に、公式サイトからクライアントソフトを直接ダウンロードします。
|
1 |
wget https://dl.eff.org/certbot-auto |
ダウンロードしたファイルに実行権限をつけて実行します。
|
1 2 |
chmod +x certbot-auto ./certbot-auto |
ドメイン名とメールアドレスを聞かれるので答えます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
No names were found in your configuration files. Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel): clouds.tokyo Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): *****@clouds.tokyo (規約に同意するか) (A)gree/(C)ancel A (メールを送ってよいか) (Y)es/(N)o Y IMPORTANT NOTES: - Unable to install the certificate - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/clouds.tokyo/fullchain.pem. Your cert will expire on ****-**-**. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you lose your account credentials, you can recover through e-mails sent to *****@clouds.tokyo. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. |
もうこれで証明書が取得できたようです。
認証メールが来ていたのでメール内のURLをクリックしておきます。
|
1 |
/etc/letsencrypt/live/clouds.tokyo |
を見ると、たしかに証明書ファイル等があります。
ではApacheの設定を編集して、取得した証明書に切り替えてみます。
|
1 2 3 |
SSLCertificateFile /etc/letsencrypt/live/clouds.tokyo/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/clouds.tokyo/privkey.pem SSLCACertificateFile /etc/letsencrypt/live/clouds.tokyo/fullchain.pem |
Apacheを再起動して、ブラウザでアクセスして証明書を確認すると、
|
1 |
認証局: Let's Encrypt |
おお、できてる!
こんなに簡単だとは思いませんでした。
有効期限が90日と短いようですが、定期的に
|
1 2 |
./certbot-auto renew service httpd restart |
をすればいいみたいですね。
cronに設定しておけば、もうSSL証明書更新作業に煩わされることはありません。たぶん。