- 1 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]
- 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
- 2 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:04:13.87 0.net]
- 【Let's Encrypt 最新情報】
Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
【対応ブラウザとOS】
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など
(https://letsencrypt.jp/より引用)
- 3 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:11:57.94 0.net]
- 〜〜〜 共有サーバ (VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ) での使い方 〜
root権限のあるサーバならば、https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能
しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある
なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり
自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様
手動認証のオプションコマンドについては、下記ドキュメントを参照
【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/
専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です
- 4 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:20:01.02 0.net]
- SSL無料になったらベリサリンとかセコムトラストとかどうなっちゃうの???
やっぱ潰れちゃう?
- 5 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:25:35.86 0.net]
- これは個人や団体を証明する手段じゃないから潰れないよ
- 6 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:26:13.09 0.net]
- VeriSignとかよりRapidSSLとかの格安系がやばいだろうな
ドメイン名認証しているだけだからLet's Encryptより優れている点が1つもないし
- 7 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:29:39.87 0.net]
- Let's Encrypt はオレオレ証明書じゃなくて
IE でも Firefox でも Opera でも Google Chrome でも Safari でも正規証明書扱い
あげくためしてみたら、Lynx とか wget とかそういったテキスト系ブラウザでも正規証明書と認証
SHA-2証明書だからガラケー対応は怪しいけど、VeriSignとかもSHA-2に移行したから同じことだし
これは認証局あちこち潰れる予感
これからは認証局はアドレスバーが緑になる EV SSL 売っていくしか存続手段が無いだろう
- 8 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:38:47.26 0.net]
- あと3日で俺のサイトもフルSSLにできるとか、スゲーわくわくするわ
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ
だって、プライバシーマークの協会だって、HTTPなんだぜ?
privacymark.jp/
それなのに個人がSSL使えるとか、すごくね?
- 9 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:41:03.74 0.net]
- 暗号化の手段として必要だから、正規サイトの証明はいらないんで
使う分にはいいんだけど、悪用する人への対策はどうなるのかな
- 10 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:49:12.85 0.net]
- これの有効期間ってどれくらいあるの?
- 11 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 18:56:42.40 0.net]
- >>10
90日間固定
90日な理由は https://letsencrypt.jp/blog/2015-11-09.html に書かれてる
Let's Encrypt は、
$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい
- 12 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 19:05:44.35 0.net]
- >>11
なるほど。自動化できるんなら運用で躓くことは少なそうだな。
- 13 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 19:46:53.00 0.net]
- コマンド一発と言っても80番ポート止めなきゃダメなんでしょ?
STGとかなら良いけど、一般公開しているサイトでは二ヶ月に一回もやりたくない
- 14 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 20:05:58.60 0.net]
- >>13
初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)
ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう
- 15 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 20:18:56.91 0.net]
- >>13
漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ
でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw
同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん
サーバーって放置で運営するもんでもないし
- 16 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 20:24:45.18 0.net]
- 数年前に年何万も払って証明書買ってたのが馬鹿みたいだ
今や同じのが無料だもんな
やっぱり認証局はボロ儲けだったんだな
- 17 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 20:34:17.85 0.net]
- >>14
なるほど、認証用ファイル設置も自動でやってくれるのか
再起動はlogrotate時に任せても良いけど、起動しなかったら夜中に起こされるな・・・
>>15
自動化出来るところは自動化したいよ
10や20なら手動でもいいけど・・・
- 18 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 23:07:18.80 0.net]
- >>17
なるほど
10や20を
- 19 名前:エえる大量の鯖管理してたら
確かに自動化が重要やな [] - [ここ壊れてます]
- 20 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/11/30(月) 23:24:19.99 0.net]
- しかし、HTTPS化したら
はてブのブックマーク数とかツイート数とかがリセットされるよね
googleのランクは301リダイレクトで完全に引き継げるらしいけどね
httpへのリンクのまでも、httpsの方にリンクしているとみなしてくれるので
リンク効果も引き継げる模様
Googleはフルssl推進派だし、sslサイトのランクを上げる対応をしているので当然とも言えるが
- 21 名前:名無しさん@お腹いっぱい。 [2015/12/01(火) 00:14:44.07 0.net]
- いよいよ、あさってか!
楽しみだわ
- 22 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 00:25:46.66 0.net]
- o(^-^)oワクワクテカテカ
早く証明書が欲しいニャン
- 23 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 00:28:53.84 0.net]
- これってワイルドカード証明書とれる?
- 24 名前:名無しさん@お腹いっぱい。 [2015/12/01(火) 01:01:15.48 0.net]
- >>22
www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う
サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK
- 25 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 01:22:36.15 0.net]
- いや最初からSAN指定できるでしょ
- 26 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 01:42:42.50 0.net]
- レンタルサーバでも簡単に使えるように
サーバ会社の方でも対応してほしいね
- 27 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 04:33:31.62 0.net]
- > 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の
アメリカ時間だから、日本だと4日〜5日だと考えた方が良いぞ
時差ってもんがあるからな
- 28 名前:名無しさん@お腹いっぱい。 [2015/12/01(火) 04:50:46.51 0.net]
- アメリカとの時差って何時間だっけ?
てかアメリカってタイムゾーンいっぱいあったよね?
- 29 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 08:53:56.39 0.net]
- SFだしPSTじゃないの
- 30 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 12:55:39.14 0.net]
- git が動かなきゃだめだよな。
- 31 名前:名無しさん@お腹いっぱい。 [2015/12/01(火) 14:09:21.71 0.net]
- >>29
今は git の時代だからね
ディストリに依存せずにコマンド1つでパッケージを取得できる素晴らしいシステムですから
- 32 名前:名無しさん@お腹いっぱい。 mailto:(´Д`)ハァ [2015/12/01(火) 17:03:05.62 0.net]
- いつの間にかApacheじゃなくてnginxが主流になったりとか
Cent OS 7 iptablesがなくなってFirewalldになったりとか
同じくCent OS 7 でMySQLじゃなくてMariaDBになったりとか
なんかgitという聞いたこともないようなものが飛び出したりとか
なんで Linux の世界ってこんなに変わっちゃったんですか?
10年以上も(下手したら20年近く?)、iptables, Apache, MySQL が主流でそれがずっとかわらなかったし
安定してて特に問題もなかったのに、なんで新しいソフトの動作覚えないといけないんでしょう
これっておじさんの鯖管を虐めて若者がいい気になりたいだけでは?
実際若い人に「なんで Apacheじゃ駄目なの?」とか「なんで iptables じゃ駄目なの?」と聞いても
「今は○○が主流になってきており・・・」とか「多少軽いらしいです」とかどうでもいいような返答しか返ってこないし
わざわざ再学習のコストかけてまで変える必要ないよね
- 33 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 19:11:33.01 0.net]
- 可哀想なおじさん >>31 に誰か一言アドバイスをどうぞ
↓
- 34 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 20:11:19.35 0.net]
- ご隠居さん、若いものの邪魔しちゃいけませんよ。さ、あっち行きましょうね。
- 35 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 21:09:57.19 0.net]
- てか静的HTMLならApacheでも1日100万Hitでも月1000円足らずのさくらのVPS1Gで捌けるのに、
なんで、ちょっと軽い程度の理由でnginxに移行しないといけないんだろう
httpd.confとかmod_rewriteとかの書き方覚え治すだけのメリットあるとは思えない
サーバ負荷になってるのはhttpdじゃなくてphp / CGIとかSQLなんだから
httpdを軽いのに乗り換えたって全体としては誤差だろ
- 36 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 22:19:59.42 0.net]
- だったらそのままApache使ってればいいじゃん
- 37 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 22:27:22.35 0.net]
- apacheでいいんじゃない?
必要になったらnginxのリバースプロクシたてればいい
- 38 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 22:56:32.30 0.net]
- >>35-36
だよね
会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね
若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする
- 39 名前:名無しさん@お腹いっぱい。 [2015/12/01(火) 23:05:17.89 0.net]
- ※ Apache / nginx の論争で誤解を招きそうなので 一応書いておくと
Let's Encrypt は Apache ・ nginx のどちらかに依存してるわけじゃないよ
- 40 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 23:13:00.53 0.net]
- でも、lighttpd には対応してないんでしょう?手動でやればすむことだけど。
- 41 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/01(火) 23:29:01.64 0.net]
- >>39
lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?
なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)
./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)
あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)
とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ
- 42 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 00:43:26.63 0.net]
- 今時の若いもんはH2Oなのでは
- 43 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 01:10:10.84 0.net]
- >>41
H20って水?
どういう意味?
- 44 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 01:26:48.06 0.net]
- >>31
> わざわざ再学習のコストかけてまで変える必要ないよね
こんな事言ってる奴は爺じゃなくても向いてないと思う
- 45 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 02:49:03.67 0.net]
- cloudflareはnginxリバースプロクシとして
sslやらCDNやらアクセス解析やらなんでもやってくれるんで
H2Oとかnginx含めて自前でリバースプロクシ建てる必要を感じない
- 46 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 08:02:15.49 0.net]
- だからなんなの?
- 47 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 08:42:43.74 0.net]
- >>42
おいしい水だよ
- 48 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 09:23:18.17 0.net]
- ttps://letsencrypt.jp/usage/
を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな
- 49 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/02(水) 12:43:13.97 0.net]
- >>47
そのページの下の方に利
- 50 名前:p規約への同意は保存されると書かれてる []
- [ここ壊れてます]
- 51 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 11:37:52.61 0.net]
- さっそくやってみたけど。
Name is not whitelisted
というエラーです。
- 52 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 13:46:38.44 0.net]
- ホワイトリストに登録されていません
- 53 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 15:05:34.74 0.net]
- >>50
まだパブリックになってないのかな
- 54 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 16:48:10.38 0.net]
- ん?
- 55 名前:名無しさん@お腹いっぱい。 [2015/12/03(木) 16:57:33.62 0.net]
- >>49
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
- 56 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 18:13:53.89 0.net]
- Let's Encrypt Status
letsencrypt.status.io/
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
- 57 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:19:46.60 0.net]
- >>54
全WebサイトのSSL(TLS)化を目指しているプロジェクトなんだから https のリンクにしてあげないと可哀想です
https://letsencrypt.status.io/
- 58 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:46:07.25 0.net]
- >>54
貴重な情報サンクス
- 59 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:48:26.33 0.net]
- >>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。
- 60 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:56:44.49 0.net]
- >>54
わくわくするぜ
- 61 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 00:49:56.49 0.net]
- WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
- 62 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 01:17:39.68 0.net]
- >>59
Postfix とか、Dovecot とか最近のメール鯖はちゃんと暗号化の
メカニズムを内蔵してる。証明書はウェブと同じものが使える。
- 63 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 02:23:19.75 0.net]
- >>60
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
- 64 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 02:24:57.92 0.net]
- letsencrypt.jp
あと30分ちょいか
- 65 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 03:47:50.20 0.net]
- ubuntuの方は恐ろしく簡単に入ったな、、、
手作業でいれたやつ対応させるとするか、、
- 66 名前:名無しさん@お腹いっぱい。 [2015/12/04(金) 05:11:52.30 0.net]
- おはよー
https://letsencrypt.jp/usage/ の解説のとおりにやってみたら
5分足らずであっさり証明書取得できたわ
あまりにも簡単で拍子抜けたわ
- 67 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 05:46:41.59 0.net]
- あっという間に取得完了
- 68 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 07:38:57.24 0.net]
- >>61
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
- 69 名前:49 mailto:sage [2015/12/04(金) 07:40:03.15 0.net]
- >>48
うまく出来ました。
cron 用のスクリプトで動作できましたので月1回動作で登録します
- 70 名前:49 mailto:sage [2015/12/04(金) 07:45:26.42 0.net]
- 期間は 12月3日から3月2日まで。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
- 71 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 09:17:11.76 0.net]
- >>66
つまりhttpアクセス禁止してるサーバじゃ無理
- 72 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 10:29:26.32 0.net]
- そんなの開ければいいじゃん
普段HTTP起動していないんだから何の問題もない
- 73 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 11:24:20.85 0.net]
- >>69
ごめん勘違いしてた
一応他のポートでも行けるようにする議論はあるみたい
- 74 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 12:49:39.98 0.net]
- 80以外のポート指定できないのかな?
それならサーバ毎にポート分けて対応できそうな気がするが
- 75 名前:名無しさん@お腹いっぱい。 [2015/12/05(土) 16:31:14.43 0.net]
- おい、おまいら
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
security.srad.jp/story/15/12/05/0454205/
- 76 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/05(土) 17:10:54.25 0.net]
- よし
今夜から使うぞ
- 77 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/05(土) 20:02:25.82 0.net]
- SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
- 78 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 10:48:40.19 0.net]
- -d example.com をその数だけ並べればいいよ
- 79 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:08:00.09 0.net]
- >>76
ん?SANじゃなくてSNIなのですが…
- 80 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:13:29.95 0.net]
- だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか
- 81 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:07.15 0.net]
- >>77
は?
SANsの証明書を使いまわせばいいだけだろ
- 82 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:09.55 0.net]
- SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
- 83 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:53.82 0.net]
- 2sec 先こされたわww
- 84 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 15:31:13.61 0.net]
- startsslで結構梃子摺ったのに
こっちはかなり楽そうだな
- 85 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 15:40:47.29 0.net]
- startsslにてこずるところなんてなかったろ
- 86 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 15:43:23.50 0.net]
- CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
- 87 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 16:05:25.12 0.net]
- >>83
ウェブ素人なんや
察してくれ
- 88 名前:名無しさん@お腹いっぱい。 [2015/12/08(火) 00:19:35.55 0.net]
- 最大手のアットマークITでも取り上げられた模様
www.atmarkit.co.jp/ait/articles/1512/07/news072.html
これは Let's Encrypt がどんどん普及していくかもしれない
- 89 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 08:03:51.94 0.net]
- 自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
マルチドメインはなんだかなーなんだよなー
- 90 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 13:20:31.44 0.net]
- 何個発行しようとしたんだ?
- 91 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 13:49:27.66 0.net]
- >パブリックβ期間中は 7日間で5証明書/ドメイン
となってるな
- 92 名前:名無しさん@お腹いっぱい。 [2015/12/08(火) 15:49:24.08 0.net]
- BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
- 93 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 18:21:15.34 0.net]
- >>88
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
- 94 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 18:44:07.02 0.net]
- gmailからpopsでのフェッチアクセスも認証通りますか?
- 95 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:35:04.30 0.net]
- 今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
- 96 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:47:14.46 0.net]
- >>91
>SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
これ
- 97 名前:間違ってない? []
- [ここ壊れてます]
- 98 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:56:22.62 0.net]
- 内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
- 99 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:58:54.89 0.net]
- >>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
- 100 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 00:03:58.02 0.net]
- >>96
いんや、そっちじゃなくて
SSLCA〜
クライアント証明書を認証するためのサーバー側のCA証明書ストアを記述するディレクティブじゃない?
って話
- 101 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 00:08:24.10 0.net]
- Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
|
 |
