読者です 読者をやめる 読者になる 読者になる

Let’s Encryptに変更

深い理由はないけどStartSSLからLet’s Encryptに変更
とりあえず動いているからOKだけどハマッタ^^;;

Let’s Encryptとは

Mozilla、アカマイ、シスコ、Facebookがサポートする認証局です。
無料でTLSを取得出来る事が出来るサービスです。
StartSSLとほぼ一緒ですがコマンドから申請ができるのが大きく違います。

2016 03 08 15 41 12

まだPublic βですが個人用blogだから問題ないしということで証明書が切れる前に入れ替えます。

スクリプト準備

GitHubで公開されているのでそちらからcloneします
Amazon Linuxだとはまります。
CentOS 7系なら問題無くそのスクリプトで走ります。

Let’s Encrypt Client on Amazon Linux – No module named _cffi_backendを参考に私は下記の通りやりました。

cd ~/git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
git checkout amazonlinux
git pull

スクリプト実行

Apacheとかだったらスムーズに行くかもしれないけどh2oなのでってググったら
Using H2O with Let’s Encryptなんてページが!!!
作者がやり方を公開してくれている!!!有り難い。
この通りに素直にやっていく

./letsencrypt-auto certonly –webroot \
–webroot-path $DOCROOT \
–email $EMAIL \
–domain $HOST1

私は環境変数ではなく素直に埋め込みました^^;;

そしたら

IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/www.barasu.org/fullchain.pem. Your cert will
expire on 2016-06-06. To obtain a new version of the certificate in
the future, simply run Let’s Encrypt again.
– If you like Let’s Encrypt, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

コマンドラインからだけで証明書も取れるのはかなり便利。

でも、2016年6月6日に切れるのね・・・これはこれで面倒だな・・・
切れる前に対応しないと・・・

h2o設定変更

設定変更はcertificate-fileとkey-fileの両方を書き換えるだけ
これでh2oを再起動します。

確認

browserでアクセスして確認。
LetsEncrypt.PNG

これで問題なし。
ちゃんとLet’s Encrypt Authorityということになっています。

気になること

Let’s Encrypt Now Being Abused By Malvertisersにも書かれているように。
今後は悪意あるサイトもTLS/SSLの利用が標準になるよね。
経路でのチェックが今以上に厳しくなるのは間違いないよね。



from 公開懺悔日記 https://www.barasu.org/pc/12044.html