読者です 読者をやめる 読者になる 読者になる

日記

日々のことと、Python/Django/PHP/Laravel/nodejs などソフトウェア開発のことを書き綴ります

正式版になった let's encrypt を試す

let's encrypt インフラ

let's encrypt 正式版がリリースされました。

2016 年 4 月に let's encrypt は beta が取れて正式版となりました。(今更感がありますが…)

クライアントの letsecnrypt コマンドも 0.5.0 になり、さらに certbot と名前を変えています。

そんなわけでサラッと、 certbot を使った let's encrypt の証明書取得を書き残したいと思います。

インストール対象の構成

  • Ubuntu 16.04 LTS
  • nginx
  • certbot

構成は上記のようになります。

設定ファイルとかディレクトリをこのエントリでは書かないので、過去の記事を参考にしてみてください。

certbot クライアントの入手

$ wget https://dl.eff.org/certbot-auto
$ chmod a+x ./certbot-auto

ダウンロードして、パーミッションを付けます。 この certbot-auto が以前の letsencrypt-auto コマンドと同じ役割を持ちます。

certbot-auto を実行して証明書を取得する

$ ./certbot-auto certonly \
      --no-self-upgrade \
      -n \
      --webroot \
      --agree-tos \
      --email tnamao@yourdomain.com \
      -w /var/www/letsencrypt_webroot/ \
      -d yourdomain.com

実行するコマンドはこんな感じです。sudo 権限が必要なのでご注意を。

  • --no-self-upgrade は、certbot-auto 自身のアップデートを行わないようにする
  • -n は、依存するパッケージを自動でインストールするオプション

それ以外は、以前のエントリと変わらない意味合いなので省略します。

証明書の更新

./certbot-auto renew --no-self-upgrade --force-renewal -n

こんな感じで、証明書の更新も以前のクライアントとほぼ一緒ですね。

beta と正式版の互換性は?

let's encrypt を使用している某サービスで、0.3.x くらいのクライアントで作った証明書&設定も問題無く certbot クライアントで更新できました。 恐らく互換性を壊さないように中の人ががんばってるんだろうと思います。

まとめ

格安なサーバ証明書も本当に安いですが、let's encrypt は明示的な CSR 作成とかも不要なので証明書の取得も簡単です。 let's encrypt は EV が付かないのでビジネス用途には少しアレですが、正式版になって安心度が増したと思うので個人サイトなどでは是非つかってみてください。

さらっとしすぎてますが、今回は以上です。

これて手元のメモが消せる…。