Let's Encryptについて話す【勉強会資料】
?Download as PPTX, PDF?
1 like?577 views
株式会社キャッチアップにて行っている勉強会での発表資料です。今回はエンジニアの権藤 隆行が発表した資料を公開致します。
Let's Encryptについて話す【勉強会資料】
- 2. Let’s Encryptってなんなん? ? Let’s Encryptの概要 Let's Encrypt は、無料で利用できる自動化されていてオープンな認証局 (CA)です。公共の利益を図る目的で Internet Security Research Group (ISRG) が運営しています。 Copyright Catchup, Inc. All Rights Reserved. 2
- 3. Internet Security Research Group ってなに? Let's Encrypt を運営している Internet Security Research Group (略称: ISRG) は、アメリカ合衆国カリフォルニア州にある公益法人で、アメリ カ合衆国内国歳入法 Section 501(c)(3) による非課税法人として、アメリ カ合衆国内国歳入庁 (IRS) による承認を受けています。 インターネットを介した安全な通信を行う際の、経済面?技術面?教育 面での障壁を減らすことが、ISRG の使命です。 ISRG は、誰もがより安全なインターネットがに興味を持つことで、公共 の利益のためのデジタル基盤を提供する取り組みを一緒に行うことを可 能にするという模範を示すことができると信じています。 非営利団体やフォーチュン100企業などの様々な組織からが ISRG をサ ポートしています。スポンサーの一覧については Current Sponsors (英 文) をご覧ください。 Copyright Catchup, Inc. All Rights Reserved. 3
- 4. 何が出来るのか
- 5. Let's Encrypt の基本方針 1. 無料 ドメイン名を所持している人であれば、Let‘s Encrypt を使うことで、誰 でも信頼された証明書を無料で取得できます。 Copyright Catchup, Inc. All Rights Reserved. 5
- 6. Let's Encrypt の基本方針 2. 運用自動化 ウェブサーバ上で動作しているソフトウェアが、面倒な手間無しに Let's Encrypt から証明書を取得することができます。 これらの仕組みは、安全に構成されており、証明書の更新も自動化でき ます。 Copyright Catchup, Inc. All Rights Reserved. 6
- 7. Let's Encrypt の基本方針 3. 安全 Let‘s Encrypt は、認証局(CA)サイドとウェブサイト管理者の安全な サーバ構築の補助の両面から、最先端の TLS を実装したプラットフォー ムを提供します。 Copyright Catchup, Inc. All Rights Reserved. 7
- 8. Let's Encrypt の基本方針 4. 透明性 証明書の発行と失効(revoke)は、公式に記録されます。 これらの記録は一般公開され、誰でも監査することができます。 Copyright Catchup, Inc. All Rights Reserved. 8
- 9. Let's Encrypt の基本方針 5. オープン 証明書の自動発行?更新プロトコルは、不特定多数が採択可能なオープ ン標準(Open Standard)として公表されています。 Copyright Catchup, Inc. All Rights Reserved. 9
- 10. Let's Encrypt の基本方針 6. 助け合い?協力 Let's Encrypt は、下層のインターネット?プロトコルのようなコミュニ ティの利益のための共同の取り組みであって、1つの組織によって統制さ れているものではありません。 Copyright Catchup, Inc. All Rights Reserved. 10
- 11. わかりやすくいうと?
- 12. 何が出来るか 公開された技術による公益的かつ無料で安全なSSL証明書の提供。 Copyright Catchup, Inc. All Rights Reserved. 12
- 13. 公式サイトの翻訳サイト https://letsencrypt.jp/ (引用元) このページは、Let‘s Encrypt Frequently Asked Questions (FAQ) の全文を和訳(意訳)した上で、補足説 明などを加えたものです。詳しくは 翻訳記事の出典と留意事項 をご覧ください。 Copyright Catchup, Inc. All Rights Reserved. 13
- 14. 导入
- 15. 今回の構成 Copyright Catchup, Inc. All Rights Reserved. 15 ユーザ サイトwww CentOS7 nginx Apache PHP MariaDB
- 16. 今回の構成 Copyright Catchup, Inc. All Rights Reserved. 16 ユーザ サイトwww CentOS7 nginx Apache PHP MariaDB 暗号化
- 17. SSL証明書発行の準備 sshログイン yum install -y git openssl mod_ssl cd /usr/local git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto --help –debug 以上で準備完了 Copyright Catchup, Inc. All Rights Reserved. 17
- 18. 発行する sshログイン ./letsencrypt-auto certonly --standalone -d blog.gufii.net Copyright Catchup, Inc. All Rights Reserved. 18
- 19. OKOK Copyright Catchup, Inc. All Rights Reserved. 19
- 20. ん? Copyright Catchup, Inc. All Rights Reserved. 20
- 21. 翻訳(ごんどう) Copyright Catchup, Inc. All Rights Reserved. 21 Let’sさん「nginxたらいうプロセス id 24428で動いとるプログラムが TCPポート80番つことるやんけ。 とめてやりなおせーや」
- 22. 感想(ごんどう) Copyright Catchup, Inc. All Rights Reserved. 22 そういえば某掲示板のLet’s Encryptスレで証明書の請求80番 ポートから動かせねーのかつって 議論してたな???
- 23. nginxを停止してやってみる 出来たっぽい\(^o^)/ IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/blog.gufii.net/fullchain.pem. Your cert will expire on 2016-11-08. To obtain a new or tweaked version of this certificate in the future, simply run letsencrypt-auto again. To non-interactively renew *all* of your certificates, run “letsencrypt-auto renew” - If you like Certbot, please consider supporting our work by: ※ 後で知りましたがwebrootモードを利用すると無停止で导入できます Copyright Catchup, Inc. All Rights Reserved. 23
- 24. 設定を変更する 発行した証明書をnginxのconfに記述して再起動 server { listen 443 default ssl; server_name blog.gufii.net blog2.gufii.net; root /var/www/blog.gufii.net/html; index index.php index.php; ssl on; ssl_certificate /etc/letsencrypt/live/blog.gufii.net/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/blog.gufii.net/privkey.pem; ssl_session_timeout 5m; ssl_protocols TLSv1.2; ssl_prefer_server_ciphers on; location / { #proxy_pass http://localhost:8080/; proxy_pass http://backend; #proxy_redirect default; } } Copyright Catchup, Inc. All Rights Reserved. 24
- 25. 出来た! Copyright Catchup, Inc. All Rights Reserved. 25
- 26. 自動更新 有効期間は90日間です。 自動的に更新されるようにしよう。 /usr/local/letsencrypt/letsencrypt-auto certonly --webroot --webroot-path /var/www/blog.gufii.net/html --register-unsafely-without-email --renew-by- default -d blog.gufii.net --agree-tos && systemctl restart nginx Copyright Catchup, Inc. All Rights Reserved. 26
- 27. サブドメイン 1000件で発行してみた <?php $command = "./letsencrypt-auto certonly --standalone ”; foreach($i = 0; $i < 1000; $i++) { $command .= "-d blog{$i}.gufii.net ”; } exec($command); Copyright Catchup, Inc. All Rights Reserved. 27
- 28. ???? An unexpected error occurred: There were too many requests of a given type :: Error creating new authz :: Too many currently pending authorizations. Please see the logfiles in /var/log/letsencrypt for more details. 怒られt Copyright Catchup, Inc. All Rights Reserved. 28