Hatena::ブログ(Diary)

日々雑事&備考録 (Hatena Blog移行しました) このページをアンテナに追加 Twitter

御用の向きは、TKXまで
tkx.dark あっと gmail.com

2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2014 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2015 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2016 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2017 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2018 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 |
 | 

2018-09-02

[]MyDNS.jpLet’s Encrypt DNS認証

certbotツールは、80/443 portがほぼ必須みたいなので、portを変更してたり、https onlyだったりすると認証コケ

(というかProtocol指定やPort指定してるのに、デフォルト通信にくんなや)


かといって、MyDNS.jpだと、_acme-challenge TXTレコード登録がサポートしていなのだけど

MyDNS.jp自らが、Let’s Encrypt DNS認証ツールを公開してくれたので


詳細はこちら

-> https://github.com/disco-v8/DirectEdit/

基本この通りにやればいいんだけど


1. certbot導入

2. 各種ツール導入

なぜかreadmeどおりに、wgetしたらunzipできなかったので

# mkdir /etc/letsencrypt/DirectEdit-master
# chmod 700 /etc/letsencrypt/DirectEdit-master
# cd /etc/letsencrypt/DirectEdit-master/
# wget https://raw.githubusercontent.com/disco-v8/DirectEdit/master/txtdelete.php
# wget https://raw.githubusercontent.com/disco-v8/DirectEdit/master/txtedit.conf
# wget https://raw.githubusercontent.com/disco-v8/DirectEdit/master/txtregist.php
# chmod 600 ./*.conf
# chmod 700 ./*.php

3. txtedit.conf修正

$MYDNSJP_MASTERID  = 'yourmasterid';
$MYDNSJP_MASTERPWD = 'yourpasswd';
$MYDNSJP_DOMAIN = 'yourdomain';

4. certbot証明書取得

--dry-runオプションで事前チェックしておくのが良いかも

certbot certonly --manual --preferred-challenges=dns \
--manual-auth-hook /etc/letsencrypt/DirectEdit-master/txtregist.php \
--manual-cleanup-hook /etc/letsencrypt/DirectEdit-master/txtdelete.php \
-d <Domain> \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos -m <Mail Address> --manual-public-ip-logging-ok

5. 無事成功して /etc/letsencrypt/live/<domain> の下に鍵が生成される

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/<Domain>/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/<Domain>/privkey.pem
   Your cert will expire on 2018-11-30. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

6. Nginxのconf書き換え

Nginxドメイン設定ファイルを以下に修正

server {
    listen       <Port> ssl http2;
    server_name  <Domain>;

    ssl_certificate /etc/letsencrypt/live/<Domain>/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/<Domain>/privkey.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets on;

7. Nginxのreload

Configチェックして問題なければ reload

# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
# systemctl restart nginx

8. サイトアクセスして証明書更新されているか確認


一応これでいけることが判った

あとは毎月一回コマンドを実行すれば、証明書更新される

後日自動実行するように仕込む予定だけど、cron嫌いなんだよねえ

ま、業務とかみたいに何十台もLinuxあるわけじゃないから、各サーバーで何が実行されてるかよくわからないことにはならないけど


http/https認証は、httpが必須っぽかったり、Portがデフォルト必須ぽいので

個人的に建てているサイト場合はこれが一番いいかね

 | 
1215931
サーチ:
キーワード:
Amazon.co.jpアソシエイト