2015年12月23日

Let's Encrypt

Let's EncryptがPublic betaになり、Google Chromeが独自証明書をハネるようになったので、サーバ証明書をLet's Encryptに変更しました。
https://letsencrypt.org/

# emerge -uDN dev-vcs/git
# cd /opt/
# git clone https://github.com/letsencrypt/letsencrypt
# cd letsencrypt
# ./letsencrypt-auto --debug --help
で、準備を整える。Gentooでも必要なパッケージを自動的にインストールしてくれます。

あとはこんな感じで。


# ./letsencrypt-auto --debug certonly --webroot -w /var/www/localhost/htdocs -d www.fukatani.org --email mail_to_support@fukatani.org --agree-tos

Webサーバに必要な設定を入れます。変更しなければいけないのは、下記の2つ。


SSLCertificateFile /etc/letsencrypt/live/www.fukatani.org/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.fukatani.org/privkey.pem

証明書の有効期間が90日なので、要注意。MonthlyのCronでこんなことをやるようにしました。


# cat /etc/cron.monthly/letsencrypt_www.sh
#!/bin/bash
cd /opt/letsencrypt
./letsencrypt-auto --debug certonly --webroot -w /data/www/localhost/htdocs -d www.fukatani.org --email support@fukatani.org --agree-tos --renew-by-default

if [ $? -ne 0 ]
then
ERRORLOG=`tail /var/log/letsencrypt/letsencrypt.log`
echo -e "The Lets Encrypt Cert has not been renewed! \n \n" $ERRORLOG | mail -s "Lets Encrypt Cert Alert" support@fukatani.org
else
/etc/init.d/apache2 reload
fi

exit 0


コメントする