Certbotスタンドアロンモードを使用してUbuntu20.04でSSL証明書を暗号化して取得する方法
序章
Let's Encrypt は、自動化されたAPIを介して無料のSSL証明書を提供するサービスです。 最も人気のあるLet'sEncryptクライアントは、EFFのCertbotです。
Certbotは、ドメインを検証し、証明書をフェッチし、ApacheとNginxを自動的に構成するためのさまざまな方法を提供します。 このチュートリアルでは、Certbotのスタンドアロンモードと、それを使用してメールサーバーやRabbitMQなどのメッセージブローカーなどの他のタイプのサービスを保護する方法について説明します。
SSL構成の詳細については説明しませんが、完了すると、自動的に更新される有効な証明書が作成されます。 さらに、サービスのリロードを自動化して、更新された証明書を取得できるようになります。
前提条件
このチュートリアルを開始する前に、次のものが必要です。
- このUbuntu20.04サーバーセットアップチュートリアルで詳しく説明されているように、root以外のsudo対応ユーザーと基本的なファイアウォールがセットアップされたUbuntu20.04サーバー。
- サーバーを指すドメイン名。 DigitalOcean Dropletを使用している場合は、ドメインとDNSのドキュメントに従ってください。 このチュートリアルでは、全体を通して
your_domain
を使用します。 - ポート80または443はサーバーで使用されていない必要があります。 保護しようとしているサービスが、これらのポートの両方を占有するWebサーバーを備えたマシン上にある場合は、Certbotのwebrootモードなどの別のモードを使用する必要があります。
ステップ1—Certbotをインストールする
Certbotは、インストールにsnapパッケージを使用することをお勧めします。 SnapパッケージはほぼすべてのLinuxディストリビューションで機能しますが、Snapパッケージを管理するには、最初にsnapdをインストールしておく必要があります。 Ubuntu 20.04には、すぐに使用できるスナップのサポートが付属しているため、スナップコアが最新であることを確認することから始めることができます。
sudo snap install core; sudo snap refresh core
以前に古いバージョンのcertbotがインストールされていたサーバーで作業している場合は、先に進む前にサーバーを削除する必要があります。
sudo apt remove certbot
その後、certbot
パッケージをインストールできます。
sudo snap install --classic certbot
最後に、certbot
コマンドをスナップインストールディレクトリからパスにリンクできるため、certbot
と入力するだけで実行できます。 これはすべてのパッケージで必要なわけではありませんが、スナップはデフォルトで邪魔にならない傾向があるため、誤って他のシステムパッケージと競合することはありません。
sudo ln -s /snap/bin/certbot /usr/bin/certbot
Certbotがインストールされたので、それを実行して証明書を取得しましょう。
ステップ2—Certbotを実行する
Certbotは、ドメインを制御していることを証明するために、Let'sEncryptAPIによって発行された暗号化の課題に答える必要があります。 これを実現するために、ポート80
(HTTP)または443
(HTTPS)を使用します。 ファイアウォールで適切なポートを開きます。
sudo ufw allow 443
OutputRule added Rule added (v6)
これで、Certbotを実行して証明書を取得できます。 --standalone
オプションを使用して、Certbotに独自の組み込みWebサーバーを使用してチャレンジを処理するように指示します。 最後に、-d
フラグを使用して、証明書を要求しているドメインを指定します。 複数の-d
オプションを追加して、1つの証明書で複数のドメインをカバーできます。
sudo certbot certonly --standalone -d your_domain
コマンドを実行すると、電子メールアドレスを入力し、利用規約に同意するように求められます。 そうすると、プロセスが成功し、証明書がどこに保存されているかを示すメッセージが表示されます。
OutputIMPORTANT NOTES: Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/your_domain/fullchain.pem Key is saved at: /etc/letsencrypt/live/your_domain/privkey.pem This certificate expires on 2022-02-10. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le
これで証明書ができました。 次のステップでは、ダウンロードしたファイルのいくつかを調べて、それらの機能について学習します。
ステップ3—アプリケーションの構成
アプリケーションごとに要件と構成オプションが異なるため、SSL用にアプリケーションを構成することはこの記事の範囲を超えていますが、Certbotがダウンロードしたものを見てみましょう。 ls
を使用して、キーと証明書を保持するディレクトリを一覧表示します。
sudo ls /etc/letsencrypt/live/your_domain
Outputcert.pem chain.pem fullchain.pem privkey.pem README
このディレクトリのREADME
ファイルには、これらの各ファイルに関する詳細情報があります。 ほとんどの場合、必要なファイルは次の2つだけです。
privkey.pem
:これは証明書の秘密鍵です。 これは安全かつ秘密に保つ必要があります。そのため、ほとんどの/etc/letsencrypt
ディレクトリには非常に制限された権限があり、rootユーザーのみがアクセスできます。 ほとんどのソフトウェア構成では、これをssl-certificate-key
またはssl-certificate-key-file
に類似したものと呼びます。fullchain.pem
:これは私たちの証明書であり、すべての中間証明書にバンドルされています。 ほとんどのソフトウェアはこのファイルを実際の証明書に使用し、構成で「ssl-certificate」のような名前で参照します。
存在する他のファイルの詳細については、Certbotの「[私の証明書はどこにありますかhttps://eff-certbot.readthedocs.io/en/stable/using.html#where-are-my-certificates)」セクションを参照してください。ドキュメント。
一部のソフトウェアは、他の形式、他の場所、または他のユーザー権限を持つ証明書を必要とします。 すべてをletsencrypt
ディレクトリに残し、そこにある権限を変更しないことをお勧めします(とにかく、権限は更新時に上書きされるだけです)が、それがオプションではない場合もあります。 その場合、必要に応じてファイルを移動し、権限を変更するためのスクリプトを作成する必要があります。 このスクリプトは、Certbotが証明書を更新するたびに実行する必要があります。これについては、次に説明します。
ステップ4—Certbotの自動更新の処理
Let's Encryptの証明書は、90日間のみ有効です。 これは、ユーザーが証明書の更新プロセスを自動化することを奨励するためです。 インストールしたcertbot
パッケージは、/etc/cron.d
に更新スクリプトを追加することで、これを処理します。 このスクリプトは1日2回実行され、有効期限が30日以内の証明書を更新します。
証明書は自動的に更新されますが、更新後に他のタスクを実行する方法が必要です。 新しい証明書を取得するには、少なくともサーバーを再起動またはリロードする必要があります。手順3で説明したように、使用しているソフトウェアで証明書ファイルを機能させるには、何らかの方法で証明書ファイルを操作する必要があります。 これがCertbotのrenew_hook
オプションの目的です。
renew_hook
を追加するには、Certbotの更新構成ファイルを更新します。 Certbotは、最初に証明書を取得した方法の詳細をすべて記憶しており、更新時に同じオプションで実行されます。 フックを追加するだけです。 お気に入りのエディターで構成ファイルを開きます。
sudo nano /etc/letsencrypt/renewal/your_domain.conf
いくつかの構成オプションを含むテキストファイルが開きます。 最後の行にフックを追加して、Web向けサービスをリロードし、更新された証明書を使用できるようにすることができます。
/etc/letsencrypt/renewal/ <^>your_domain<^>。conf
renew_hook = systemctl reload your_service
上記のコマンドを、サーバーをリロードしたり、カスタムファイル変更スクリプトを実行したりするために実行する必要があるものに更新します。 通常、Ubuntuでは、ほとんどの場合systemctl
を使用してサービスをリロードします。 ファイルを保存して閉じてから、Certbotドライランを実行して、構文に問題がないことを確認します。
sudo certbot renew --dry-run
エラーが表示されない場合は、すべて設定されています。 Certbotは、必要に応じて更新し、新しいファイルを使用してサービスを取得するために必要なコマンドを実行するように設定されています。
結論
このチュートリアルでは、Certbot Let's Encryptクライアントをインストールし、スタンドアロンモードを使用してSSL証明書をダウンロードし、更新フックを使用して自動更新を有効にしました。 これにより、通常のWebサーバー以外のサービスでLet'sEncrypt証明書を使用するための良いスタートを切ることができます。
詳細については、Certbotのドキュメントを参照してください。