ユーザ用ツール

サイト用ツール


letsencrypt

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン前のリビジョン
次のリビジョン
前のリビジョン
letsencrypt [2016/09/28 04:46] nullponletsencrypt [2017/07/19 03:15] (現在) nullpon
行 20: 行 20:
 </code> </code>
 ===== 証明書の発行 ===== ===== 証明書の発行 =====
 +
 +ここでは example.com と www.example.com の2つのドメインに対する証明書を発行するものとして記述する。
  
 証明書を発行するために、このサーバの管理者がドメインの所持者であることを確認する必要がある。let's encryptでは指定ドメインのport 80にHTTPアクセスして、certbotコマンドが作成したファイルを取得できればドメイン所持者であると見做す。 証明書を発行するために、このサーバの管理者がドメインの所持者であることを確認する必要がある。let's encryptでは指定ドメインのport 80にHTTPアクセスして、certbotコマンドが作成したファイルを取得できればドメイン所持者であると見做す。
  
-まずnginxをインストールして起動する。 +まずnginxをインストールしてドメイン所持確認の設定を追加し、nginxを起動する。
- +
-example.com と www.example.com の証明書を発行する。-wはnginxのドキュメントルートを指定する。ここにドメイン確認のためのファイルが作成される。-dはドメインで複数設定可能。サブジェクト代替名(SAN/Subject Alternative Name)によって1枚で複数のサーバ名に対応する証明書が発行される。 +
- +
- +
-<code> +
-/path/to/certbot-auto certonly --webroot -w /var/www/html -d example.com -d www.example.com +
-</code> +
- +
-nginxには予めドメイン確認のためにアクセスされるlocationの設定をしておく+
  
 <code> <code>
行 59: 行 52:
     }     }
 } }
 +</code>
 +
 +次に証明書を発行する。-wはnginxのドキュメントルートを指定する。ここにドメイン確認のためのファイルが作成される。-dはドメインで複数設定可能。サブジェクト代替名(SAN/Subject Alternative Name)によって1枚で複数のサーバ名に対応する証明書が発行される。
 +
 +<code>
 +sudo -H /path/to/certbot-auto certonly --webroot -w /var/www/html -d example.com -d www.example.com
 </code> </code>
  
行 125: 行 124:
  
 <code> <code>
-/path/to/certbot-auto renew && service nginx reload+sudo -H /path/to/certbot-auto renew -n 
 +sudo service nginx reload
 </code> </code>
  
行 180: 行 180:
   * always - nginxのすべてのレスポンス(内部的に生成されたエラーレスポンスなどの場合も)ヘッダを付加するようにnginxに指示する。   * always - nginxのすべてのレスポンス(内部的に生成されたエラーレスポンスなどの場合も)ヘッダを付加するようにnginxに指示する。
  
-===== プロトコルと暗号化スイートの指定 =====+==== プロトコルと暗号化スイートの指定 ====
  
 最早セキュアではないプロトコルと暗号化スイートを除外する。設定によっては古いブラウザやデバイスではアクセス不能になる。 最早セキュアではないプロトコルと暗号化スイートを除外する。設定によっては古いブラウザやデバイスではアクセス不能になる。
行 197: 行 197:
   * ssl_ciphers 使用可能な暗号スイート   * ssl_ciphers 使用可能な暗号スイート
   * ssl_prefer_server_ciphers onにすると暗号スイートの選択はサーバ側の指定に従い、クライアントの指定は無視される   * ssl_prefer_server_ciphers onにすると暗号スイートの選択はサーバ側の指定に従い、クライアントの指定は無視される
 +
 +https://mozilla.github.io/server-side-tls/ssl-config-generator/
letsencrypt.1475038011.txt.gz · 最終更新: 2016/09/28 04:46 by nullpon