​ ​

Let's Encryptでワイルドカード証明書を無料で取得

こんにちは。インフラエンジニアのrombaです。

つい2週間ほど前から、Let's Encryptでワイルドカード証明書が発行できるようになったので、その方法を書いてみます。

Let's Encryptについて

Let's EncryptはSSL/TLS 証明書の無料発行サービスです。

無料というと怪しいところが絡んでいそうなイメージがありますが、Akamaiやシスコシステムズといった大手企業がスポンサーになってます。

公式のサイトではないですが、以下のサイトに色々わかりやすく載っています。

https://letsencrypt.jp/

ワイルドカード証明書を発行する

というわけで、早速証明書を発行してみます。

DNSを弄る必要があるので、発行前にDNSはいじれるようにしておく必要があります。

以下は*.example.comで取得する例です。

cd /usr/local/src
git clone https://github.com/letsencrypt/letsencrypt
cd /usr/local/src/letsencrypt
sudo certbot-auto --manual certonly -d *.example.com --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory -m hoge@example.com --agree-tos

-------------------------------------------------------------------------------

NOTE: The IP of this machine will be publicly logged as having requested this

certificate. If you're running certbot in manual mode on a machine that is not

your server, please ensure you're okay with that.

Are you OK with your IP being logged?

-------------------------------------------------------------------------------

(Y)es/(N)o:

IPを記録しても良いかどうか聞かれるので、「Y」を入力します。

-------------------------------------------------------------------------------

Please deploy a DNS TXT record under the name

_acme-challenge.example.com with the following value:

9e2XsVy93lpk-cjtMB-gzz8Cf5QW-tOLfY5A_C4cbUbA

Before continuing, verify the record is deployed.

-------------------------------------------------------------------------------

TXTレコードを設定してくれと言われるので、DNSをいじります。

_acme-challenge.example.com で、「9e2XsVy93lpk-cjtMB-gzz8Cf5QW-tOLfY5A_C4cbUbA」が引けるように設定します。

digコマンドなどでTXTレコードが引けるようになったら、Enterキーを押して次に進みます。

Press Enter to Continue

Waiting for verification...

Cleaning up challenges

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at:

/etc/letsencrypt/live/example.com/fullchain.pem

Your key file has been saved at:

/etc/letsencrypt/live/example.com/privkey.pem

Your cert will expire on 2018-06-28. To obtain a new or tweaked

version of this certificate in the future, simply run certbot-auto

again. To non-interactively renew all of your certificates, run

"certbot-auto renew"

- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate

Donating to EFF: https://eff.org/donate-le

うまくいくと上記のように表示され、/etc/letsencrypt/live/example.com/にワイルドカード証明書が出てきます。

あとは証明書をWebサーバに設定すればOKです。

DNSレコードを設定する必要がありますが、とても早く作れるのが良いですね!

ところで、Let's Encryptで発行する証明書は90日しか持ちません。

複数のサイトに設置できるのは良いですが、自動的に配布できる仕組みも考えないと運用が立ち行かなくなってしまうので、気をつけたいところですね。

このエントリーをはてなブックマークに追加