Ubuntu 24 Let’s Encrypt SSL 証明書を取得する
環境
Ubuntu 24.04
Apache httpd や Nginx などの Web サーバーが稼働していることが前提となります。
1.証明書を取得するためのツール Certbot クライアントをインストールします。
# apt -y install certbot
2.証明書を取得します。
概要
[–webroot] 指定で稼働中 Web サーバーの公開ディレクトリ配下を認証用の一時領域に使用
-w [ドキュメントルート] -d [証明書を取得したい FQDN]
FQDN (Fully Qualified Domain Name) : ホスト名.ドメイン名を省略なしで表記
ドキュメントルートはバーチャルホストで複数のホスト定義がある場合、該当するホスト定義のものを指定
証明書を取得したい FQDN が複数ある場合は、-d [証明書を取得したい FQDN] を複数指定 例 : arkgame.com/dlp.arkgame.com の 2つについて取得する場合 ⇒ [-d arkgame.com -d dlp.arkgame.com]
操作例
# certbot certonly --webroot -w /var/www/html -d dns.arkgame.com Saving debug log to /var/log/letsencrypt/letsencrypt.log Enter email address (used for urgent renewal and security notices) # 初回のみメールアドレスの登録と利用条件への同意が必要 # 受信可能なメールアドレスを指定 (Enter 'c' to cancel): root@mail.arkgame.com - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server. Do you agree? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - # 利用条件に同意する (Y)es/(N)o: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing, once your first certificate is successfully issued, to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - # Certbot 開発の非営利団体 Electronic Frontier Foundation にもメールアドレスを登録するか否か (Y)es/(N)o: A Account registered. Requesting a certificate for dns.arkgame.com Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/dns.arkgame.com/fullchain.pem Key is saved at: /etc/letsencrypt/live/dns.arkgame.com/privkey.pem This certificate expires on 2024-07-29. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# [Successfully received certificate] と表示さえれば成功
# メッセージ中に記載の通り [/etc/letsencrypt/live/(FQDN)/] 配下に証明書が取得されている
# cert.pem ⇒ SSLサーバー証明書 (公開鍵含む) # chain.pem ⇒ 中間証明書 # fullchain.pem ⇒ cert.pem と chain.pem が結合されたファイル # privkey.pem ⇒ 公開鍵に対する秘密鍵
3.作業を実施するサーバーで Webサーバーが稼働していない場合でも、Certbot の簡易 Webサーバー機能を使用して証明書の取得が可能です。 いずれにしろ、インターネット側から当作業を実施するサーバーの 80 ポート宛てにアクセス可能であることが前提となります。
概要
[–standalone] 指定で Certbot の簡易 Webサーバー機能を使用
-d [証明書を取得したい FQDN]
FQDN (Fully Qualified Domain Name) : ホスト名.ドメイン名を省略なしで表記
証明書を取得したい FQDN が複数ある場合は -d [証明書を取得したい FQDN] を複数指定
例 : [arkgame.com/mail.arkgame.com] について取得する場合 ⇒ [-d arkgame.com -d mail.arkgame.com]
操作例
certbot certonly --standalone -d eng.arkgame.com Saving debug log to /var/log/letsencrypt/letsencrypt.log Requesting a certificate for eng.arkgame.com Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/eng.arkgame.com/fullchain.pem Key is saved at: /etc/letsencrypt/live/eng.arkgame.com/privkey.pem This certificate expires on 2024-07-29. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
4.取得済みの証明書をまとめて更新する場合は、[renew] サブコマンドを使用します。
有効期限が 30日未満の証明書が全て更新されます。
有効期限の残り日数に関わらず更新したい場合は [–force-renew] を合わせて指定します。
Certbot パッケージにはタイマーが付属しているため、通常は手動での更新実行は必要ありません。
# Certbot パッケージはタイマーが付属
# systemctl status certbot.timer * certbot.timer - Run certbot twice daily Loaded: loaded (/usr/lib/systemd/system/certbot.timer; enabled; preset: en> Active: active (waiting) since Mon 2024-04-29 13:18:16 UTC; 2min 37s ago Trigger: Tue 2024-04-30 07:08:27 UTC; 17h left Triggers: * certbot.service # systemctl list-timers certbot.timer --no-pager NEXT LEFT LAST PASSED UNIT ACTIVATES Tue 2024-04-30 07:08:27 UTC 17h - - certbot.timer certbot.service 1 timers listed. Pass --all to see loaded but inactive timers, too. # デフォルトでは以下のように毎日 2回 [renew] を実行 # systemctl cat certbot.timer # /lib/systemd/system/certbot.timer [Unit] Description=Run certbot twice daily [Timer] OnCalendar=*-*-* 00,12:00:00 RandomizedDelaySec=43200 Persistent=true [Install] WantedBy=timers.target # systemctl cat certbot.service # /lib/systemd/system/certbot.service [Unit] Description=Certbot Documentation=file:///usr/share/doc/python-certbot-doc/html/index.html Documentation=https://certbot.eff.org/docs [Service] Type=oneshot ExecStart=/usr/bin/certbot -q renew PrivateTmp=true
# 手動で更新する場合は以下のコマンドを実行する
# certbot renew