前回、NginxのVirtualHostでサブドメインを設定したのですが、まだSSL化してなかったので、Certbotを使ってSSLの設定をします。
SSLの設定は難しいイメージでしたが、Certbotで驚くほど簡単に出来ました。
もくじ
443ポートを開放
sudo ufw allow 443/tcpufwを使っている場合は、443番ポートを開放します。
さくらのVPSのパケットフィルターを使っている場合は、設定でWebを選択すると、80番と443番は同時に開放されるようになっていました。
インストール
sudo apt install certbot python3-certbot-nginxCertbotのNginx用のプラグイン、 python3-certbot-nginx をインストールすると、Nginxの設定もしてくれるようです。
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
libfwupdplugin1 linux-headers-5.4.0-104 linux-headers-5.4.0-104-generic linux-image-5.4.0-104-generic
linux-modules-5.4.0-104-generic linux-modules-extra-5.4.0-104-generic
Use 'sudo apt autoremove' to remove them.
インストールする時にこんな感じのメッセージが出たので、インストールが終わったらautoremoveします。
sudo apt autoremoveCertbot
事前に、NginxのVirtualHostで、サブドメインの設定をしています。
| 設定するドメイン | demo.dattesar.com |
sudo certbot --nginx -d demo.dattesar.comメールアドレスの入力
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):
登録するメールアドレスを入力します。
同意
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A
Aを入力して、規約に同意します。
メールアドレスの共有
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
共有すると色々とメールが送られてくるらしいです。
私は、Nを入力して共有を拒否しました。
リダイレクト
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
httpでのアクセスをhttpsにリダイレクトするか設定します。
httpsにリダイレクトさせたいので、2を入力します。
以上で、SSLの設定は完了です。すごい簡単ですね。自動で更新もしてくれるみたいです。
confファイルの確認
Nginxのconfファイルも、自動でSSLの設定を追加してくれるようなので、確認します。
/etc/nginx/sites-available/demo.dattesar.com.conf
証明書の更新
SSL証明書は、certbot.timerで自動更新される設定になっているので、certbot.timerが正常に稼働しているか確認します。
sudo systemctl status certbot.timer
● certbot.timer - Run certbot twice daily
Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Thu 2022-03-31 15:11:08 JST; 1h 0min ago
Trigger: Fri 2022-04-01 05:02:18 JST; 12h left
Triggers: ● certbot.service
Mar 31 15:11:08 systemd[1]: Started Run certbot twice daily.
activeになっているので、稼働していますね。
更新のテスト
次に、更新が正常に行われるかのテストをします。
sudo certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/demo.dattesar.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator nginx, Installer nginx
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for demo.dattesar.com
Waiting for verification...
Cleaning up challenges
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed with reload of nginx server; fullchain is
/etc/letsencrypt/live/demo.dattesar.com/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates below have not been saved.)
Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/demo.dattesar.com/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all renewals succeeded. とメッセージが出ているので、更新のテストは成功したようです。
cronの確認
cronも自動で設定してくれてるようなので、どんな感じか確認してみます。
sudo cat /etc/cron.d/certbot
# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc. Renewal will only occur if expiration
# is within 30 days.
#
# Important Note! This cronjob will NOT be executed if you are
# running systemd as your init system. If you are running systemd,
# the cronjob.timer function takes precedence over this cronjob. For
# more details, see the systemd.timer manpage, or use systemctl show
# certbot.timer.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
なるほど、私にはよくわかりません。
# Virtual Host configuration for example.com # # You can move that to a different file under sites-available/ and symlink that # to sites-enabled/ to enable it. # server { server_name demo.dattesar.com; access_log /var/log/nginx/demo.dattesar.com-access.log; error_log /var/log/nginx/demo.dattesar.com-error.log; root /var/www/demo.dattesar.com/html; index index.html; location / { try_files $uri $uri/ =404; } listen [::]:443 ssl ipv6only=on; # managed by Certbot listen 443 ssl; # managed by Certbot ssl_certificate /etc/letsencrypt/live/demo.dattesar.com/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/demo.dattesar.com/privkey.pem; # managed by Certbot include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot } server { if ($host = demo.dattesar.com) { return 301 https://$host$request_uri; } # managed by Certbot listen 80; listen [::]:80; server_name demo.dattesar.com; return 404; # managed by Certbot }後ろに、
# managed by Certbotと書いてある部分が、Certbotが追加した設定です。