RedHat系LinuxでLet’s EncryptのSSL証明書を取得・更新する方法

RedHat系LinuxでLet’s EncryptのSSL証明書を取得・更新する方法

Linux環境などでWebサーバー用にSSL証明書を取得する場合、無料で取得できるLet’s Encryptが定番となっています。

そこでここでは、RedHat系Linuxでcerbotコマンドを使ってLet's EncryptのSSL証明書を取得したり、(手動)更新する方法を紹介します。

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のディストリビューションやバージョンでは、動作結果が異なる場合があることをご了承ください。

# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)

SSL証明書を取得する

Let's EncryptのSSL証明書を取得するときは、まず必要なパッケージをインストールします。

# dnf -y install epel-release
# dnf -y install --enablerepo=epel certbot

次にcertbotコマンドでSSL証明書を取得します。

取得方法は、stadaloneプラグインを使った方法、webrootプラグインを使った方法、DNS認証を使った方法が用意されていますが、通常はstadaloneまたはwebrootを使って取得します。

ApacheやNginxといったWebサーバー用ソフトをまだ導入していない環境では、stadaloneプラグインを指定するとこで、certbotが備えているWebサーバー機能を使ってSSL証明書を取得できます。

Memo

なお、stanaloneではHTTP(80番ポート)を使って通信が行われるため、既にWebサーバーが稼働しており80番ポートが利用されている場合は、事前に停止しておきます。

# certbot certonly --standalone -d example.com -d www.example.com

すでにWebサーバーが稼働している環境では、webrootプラグインを使ってWebサーバーを止めずにSSL証明書を取得できます。

# certbot certonly --webroot -w /var/www/wordpress -d example.com -d www.example.com --agree-tos

コマンドを実行すると、処理経過が表示され最終行あたりにの「IMPORTANT NOTES:」に「Congratulations!」と表示されたら証明書の取得完了です。

Memo

取得した証明書は、下記の場所に保存されます。

  • サーバ証明書(公開鍵)
    実体:/etc/letsencrypt/archive/ドメイン名/certX.pem
    シンボリックリンク:/etc/letsencrypt/live/ドメイン名/cert.pem
  • 中間証明書
    実体 : /etc/letsencrypt/archive/ドメイン名/chainX.pem
    シンボリックリンク : /etc/letsencrypt/live/ドメイン名/chain.pem
  • サーバ証明書と中間証明書が結合されたファイル
    実体 : /etc/letsencrypt/archive/ドメイン名/fullchainX.pem
    シンボリックリンク : /etc/letsencrypt/live/ドメイン名/fullchain.pem
  • 秘密鍵
    実体 : /etc/letsencrypt/archive/ドメイン名/privkeyX.pem
    シンボリックリンク : /etc/letsencrypt/live/ドメイン名/privkey.pem

※ Xは取得した回数

SAN対応のSSL証明書を取得する

SAN対応のSSL証明書とは、「example.com」と「aaa.example.com」といった複数ドメイン名に対応した証明書で、次のようにコマンドを実行することで発行できます。

たとえば、standaloneプラグインを使ってSAN対応のSSL証明書を取得するときは、以下のように「-d」オプションに続けて必要なドメイン名をすべて指定してコマンドを実行します。

# certbot certonly --standalone -d example.com -d aaa.example.com -d bbb.example.com

すでに「example.com」というSSL証明書を取得しており、後から証明書に「aaa.example.com」というサブドメインを追加したい場合は、次のようにコマンドを実行します。

# certbot certonly --force-renew --cert-name example.com -d example.com -d aaa.example.com

SAN対応のSSL証明書が正しく発行されたか確認したいときは、取得したSSL証明書をWebサーバーに設定し、ブラウザでサイトへアクセスして証明書を確認すれば、証明書の「サブジェクト代替名」フィールド欄に、証明書発行時に指定したドメイン名が列挙されています。

SSL証明書を自動更新する

Let's EncryptのSSL証明書の有効期限は90日と短いため、通常は自動更新設定を行います。

SSL証明書を自動更新するときは、certbotのtimer設定を以下のコマンドで有効化します。

# systemctl enable --now certbot-renew.timer
Created symlink from /etc/systemd/system/timers.target.wants/certbot-renew.timer to /usr/lib/systemd/system/certbot-renew.timer.

次に、SSL証明書が更新される際に、Webサーバーのサービスを自動的に停止/起動させたり、再起動させるための設定を行います。

SSL証明書をstandaloneプラグインを使って取得した場合は、更新処理もstandaloneプラグインが使われるようなので、更新前にWebサーバーのサービスを停止して、更新後にWebサーバーのサービスを開始するよう設定します。

# vi /etc/sysconfig/certbot
PRE_HOOK="--pre-hook 'systemctl stop nginx'"
POST_HOOK="--post-hook 'systemctl start nginx'"

webrootプラグインを使って取得した場合は、更新処理もwebrootプラグインが使われるようなので、更新後にWebサーバーのサービスを再起動するよう設定します。

# vi /etc/sysconfig/certbot
POST_HOOK="--post-hook 'systemctl restart nginx'"

設定が完了したら、以下のコマンドでtimer設定を表示し、certbot-renew のNEXT欄に起動予定時刻が入っていることを確認します。

# systemctl list-timers
NEXT                        LEFT          LAST                        PASSED  UNIT                ACTIVATES
火 2018-03-27 02:37:27 JST 1h 32min left 月 2018-03-26 01:47:26 JST 23h ago certbot-renew.timer certbot-renew.service

SSL証明書の自動更新処理の結果は、次のコマンドで確認できます。

# journalctl -u certbot-renew

なお、更新時に利用するプラグインは設定ファイル「/etc/letsencrypt/renewal/example.com.conf」で変更することもできます。(手順は割愛します。)

SSL証明書を手動更新する

何らかの事情で、SSL証明書を手動更新したいときは、以下のコマンドを実行することで、期限まで30日未満の証明書を更新できます。

Memo

SSL証明書をstandaloneプラグインを使って取得した場合は、Webサーバーのサービスを停止してから以下のコマンドを実行します。

# certbot renew

期限までに30日以上の猶予がある場合に、強制的にSSL証明書を更新したいときは、以下のコマンドを実行します。

# certbot renew --force-renewal

更新処理メッセージの最終行あたりに「Congratulations,」と表示されていれば、更新成功です。更新に要する時間は証明書の数にもよると思いますが、1つだけだと10秒ぐらいで終わります。

ちなみに、SSL証明書の有効期限まで30日を切ると以下のような内容でメールが送られてきます。

Your certificate (or certificates) for the names listed below will expire in
20 days (on 12 Jun 18 18:36 +0000). Please make sure to renew
your certificate before then, or visitors to your website will encounter errors.

SSL証明書を失効させる

取得したSSL証明書をいますぐに失効させたいときは、以下のコマンドを実行します。

# certbot revoke --cert-path /etc/letsencrypt/live/example.com/cert.pem

なお、SSL証明書を取得したマシンがすでになくて、上のコマンドを実行できない場合でも、DNS認証を使って取得済みのSSL証明書を失効させることができます。(手順は割愛します。)

参考URL

コマンド解説 - Let's Encrypt 総合ポータル

あとがき

Let’s Encryptは無料で利用できる上に、更新も楽で大変助かります。