2015/12/23

Let's Encrypt

Let's EncryptがPublic betaになり、Google Chromeが独自証明書をハネるようになったので、サーバ証明書をLet's Encryptに変更しました。
https://letsencrypt.org/


# emerge -uDN dev-vcs/git
# cd /opt/
# git clone https://github.com/letsencrypt/letsencrypt
# cd letsencrypt
# ./letsencrypt-auto --debug --help

で、準備を整える。Gentooでも必要なパッケージを自動的にインストールしてくれます。

あとはこんな感じで。
# ./letsencrypt-auto --debug certonly --webroot -w /var/www/localhost/htdocs -d www.fukatani.org --email mail_to_support@fukatani.org --agree-tos


Webサーバに必要な設定を入れます。変更しなければいけないのは、下記の2つ。
SSLCertificateFile /etc/letsencrypt/live/www.fukatani.org/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.fukatani.org/privkey.pem


証明書の有効期間が90日なので、要注意。MonthlyのCronでこんなことをやるようにしました。
# cat /etc/cron.monthly/letsencrypt_www.sh
#!/bin/bash
cd /opt/letsencrypt
./letsencrypt-auto --debug certonly --webroot -w /data/www/localhost/htdocs -d www.fukatani.org --email support@fukatani.org --agree-tos --renew-by-default

if [ $? -ne 0 ]
then
ERRORLOG=`tail /var/log/letsencrypt/letsencrypt.log`
echo -e "The Lets Encrypt Cert has not been renewed! \n \n" $ERRORLOG | mail -s "Lets Encrypt Cert Alert" support@fukatani.org
else
/etc/init.d/apache2 reload
fi

exit 0


0 件のコメント: