無料のサーバ証明書

以下nginxに証明書を設定する流れ

githubからcloneする

git clone https://github.com/certbot/certbot.git

必要なパッケージをインストールする

cd certbot
./certbot-auto

証明書を発行するために、このサーバの管理者がドメインの所持者であることを確認する必要がある。let's encryptでは指定ドメインのport 80にHTTPアクセスして、certbotコマンドが作成したファイルを取得できればドメイン所持者であると見做す。

まずnginxをインストールして起動する。

example.com と www.example.com の証明書を発行する。-wはnginxのドキュメントルートを指定する。ここにドメイン確認のためのファイルが作成される。-dはドメインで複数設定可能。サブジェクト代替名（SAN/Subject Alternative Name）によって1枚で複数のサーバ名に対応する証明書が発行される。

/path/to/certbot-auto certonly --webroot -w /var/www/html -d example.com -d www.example.com

nginxには予めドメイン確認のためにアクセスされるlocationの設定をしておく。

server {
    server_name: example.com;
    listen 80;
    
    root /var/www/example.com/htdocs;
    
    location ^~ /.well-known/acme-challenge/ {
        root /var/www/html;
        try_files $uri =404;
    }
    
    // ... 以下略
}
server {
    server_name: www.example.com
    listen 80;

    root /var/www/www.example.com/htdocs

    location ^~ /.well-known/acme-challenge/ {
        root /var/www/html;
        try_files $uri =404;
    }
}

証明書は /etc/letsencrypt/live/example.com 以下に作成される（/etc/letsencrypt/live/www.example.com というディレクトリは作られません）。

• privkey.pem - 秘密鍵、漏らしてはいけないやつ
• fullchain.pem - サーバ証明書＋中間証明書のセット
• cert.pem - サーバ証明書
• chain.pen - 中間証明書

nginxにsslの設定を行う。

server {
    server_name: example.com;
    
    listen 80;
    
    listen 443 ssl http2;
    ssl on;
    ssl_certificate      /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/example.com/privkey.pem;

    root /var/www/example.com/htdocs;
     
    location ^~ /.well-known/acme-challenge/ {
        root /var/www/html;
        try_files $uri =404;
    }
    
    // ... 以下略
}
server {
    server_name: www.example.com
    
    listen 80;
    
    listen 443 ssl http2;
    ssl on;
    ssl_certificate      /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/example.com/privkey.pem;

    root /var/www/www.example.com/htdocs
     
    location ^~ /.well-known/acme-challenge/ {
        root /var/www/html;
        try_files $uri =404;
    }
}

nginxをリロードする

sudo service nginx reload

let's encryptの証明書は有効期間が３ヶ月と短く、cronなどで自動更新処理を行う運用を想定している。

以下のコマンドをroot権限で週一ぐらいの頻度で実行するとよい。

/path/to/certbot-auto renew && service nginx reload

期限切れまで残り１ヶ月を切ったときに実行されると証明書が更新される。

./certbot-autoを実行して必要なパッケージのインストール中（pythonのvirtualenv設定中）にエラー

Creating virtual environment...
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 2363, in <module>
    main()
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 719, in main
    symlink=options.symlink)
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 988, in create_environment
    download=download,
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 918, in install_wheel
    call_subprocess(cmd, show_stdout=False, extra_env=env, stdin=SCRIPT)
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 812, in call_subprocess
    % (cmd_desc, proc.returncode))
OSError: Command /home/hisanori/.loca...ncrypt/bin/python2.7 - setuptools pkg_resources pip wheel failed with error code 1

OSに日本語パッケージが入ってないのに、LANGがja_JP.UTF-8等になっている（SSHクライアントによって設定される）場合に発生する

export LANG=C

としてからcertbot-autoを実行する。