[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 11/25 13:56 / Filesize : 264 KB / Number-of Response : 1030
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]
|
↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました |
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
- 1 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]
- 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
- 51 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 11:37:52.61 0.net]
- さっそくやってみたけど。
Name is not whitelisted
というエラーです。
- 52 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 13:46:38.44 0.net]
- ホワイトリストに登録されていません
- 53 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 15:05:34.74 0.net]
- >>50
まだパブリックになってないのかな
- 54 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 16:48:10.38 0.net]
- ん?
- 55 名前:名無しさん@お腹いっぱい。 [2015/12/03(木) 16:57:33.62 0.net]
- >>49
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
- 56 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 18:13:53.89 0.net]
- Let's Encrypt Status
letsencrypt.status.io/
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
- 57 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:19:46.60 0.net]
- >>54
全WebサイトのSSL(TLS)化を目指しているプロジェクトなんだから https のリンクにしてあげないと可哀想です
https://letsencrypt.status.io/
- 58 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:46:07.25 0.net]
- >>54
貴重な情報サンクス
- 59 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:48:26.33 0.net]
- >>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。
- 60 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/03(木) 19:56:44.49 0.net]
- >>54
わくわくするぜ
- 61 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 00:49:56.49 0.net]
- WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
- 62 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 01:17:39.68 0.net]
- >>59
Postfix とか、Dovecot とか最近のメール鯖はちゃんと暗号化の
メカニズムを内蔵してる。証明書はウェブと同じものが使える。
- 63 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 02:23:19.75 0.net]
- >>60
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
- 64 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 02:24:57.92 0.net]
- letsencrypt.jp
あと30分ちょいか
- 65 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 03:47:50.20 0.net]
- ubuntuの方は恐ろしく簡単に入ったな、、、
手作業でいれたやつ対応させるとするか、、
- 66 名前:名無しさん@お腹いっぱい。 [2015/12/04(金) 05:11:52.30 0.net]
- おはよー
https://letsencrypt.jp/usage/ の解説のとおりにやってみたら
5分足らずであっさり証明書取得できたわ
あまりにも簡単で拍子抜けたわ
- 67 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 05:46:41.59 0.net]
- あっという間に取得完了
- 68 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 07:38:57.24 0.net]
- >>61
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
- 69 名前:49 mailto:sage [2015/12/04(金) 07:40:03.15 0.net]
- >>48
うまく出来ました。
cron 用のスクリプトで動作できましたので月1回動作で登録します
- 70 名前:49 mailto:sage [2015/12/04(金) 07:45:26.42 0.net]
- 期間は 12月3日から3月2日まで。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
- 71 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 09:17:11.76 0.net]
- >>66
つまりhttpアクセス禁止してるサーバじゃ無理
- 72 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 10:29:26.32 0.net]
- そんなの開ければいいじゃん
普段HTTP起動していないんだから何の問題もない
- 73 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 11:24:20.85 0.net]
- >>69
ごめん勘違いしてた
一応他のポートでも行けるようにする議論はあるみたい
- 74 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/04(金) 12:49:39.98 0.net]
- 80以外のポート指定できないのかな?
それならサーバ毎にポート分けて対応できそうな気がするが
- 75 名前:名無しさん@お腹いっぱい。 [2015/12/05(土) 16:31:14.43 0.net]
- おい、おまいら
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
security.srad.jp/story/15/12/05/0454205/
- 76 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/05(土) 17:10:54.25 0.net]
- よし
今夜から使うぞ
- 77 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/05(土) 20:02:25.82 0.net]
- SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
- 78 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 10:48:40.19 0.net]
- -d example.com をその数だけ並べればいいよ
- 79 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:08:00.09 0.net]
- >>76
ん?SANじゃなくてSNIなのですが…
- 80 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:13:29.95 0.net]
- だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか
- 81 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:07.15 0.net]
- >>77
は?
SANsの証明書を使いまわせばいいだけだろ
- 82 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:09.55 0.net]
- SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
- 83 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:53.82 0.net]
- 2sec 先こされたわww
- 84 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 15:31:13.61 0.net]
- startsslで結構梃子摺ったのに
こっちはかなり楽そうだな
- 85 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 15:40:47.29 0.net]
- startsslにてこずるところなんてなかったろ
- 86 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 15:43:23.50 0.net]
- CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
- 87 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/06(日) 16:05:25.12 0.net]
- >>83
ウェブ素人なんや
察してくれ
- 88 名前:名無しさん@お腹いっぱい。 [2015/12/08(火) 00:19:35.55 0.net]
- 最大手のアットマークITでも取り上げられた模様
www.atmarkit.co.jp/ait/articles/1512/07/news072.html
これは Let's Encrypt がどんどん普及していくかもしれない
- 89 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 08:03:51.94 0.net]
- 自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
マルチドメインはなんだかなーなんだよなー
- 90 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 13:20:31.44 0.net]
- 何個発行しようとしたんだ?
- 91 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 13:49:27.66 0.net]
- >パブリックβ期間中は 7日間で5証明書/ドメイン
となってるな
- 92 名前:名無しさん@お腹いっぱい。 [2015/12/08(火) 15:49:24.08 0.net]
- BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
- 93 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 18:21:15.34 0.net]
- >>88
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
- 94 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 18:44:07.02 0.net]
- gmailからpopsでのフェッチアクセスも認証通りますか?
- 95 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:35:04.30 0.net]
- 今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
- 96 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:47:14.46 0.net]
- >>91
>SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
これ
- 97 名前:間違ってない? []
- [ここ壊れてます]
- 98 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:56:22.62 0.net]
- 内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
- 99 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/08(火) 23:58:54.89 0.net]
- >>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
- 100 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 00:03:58.02 0.net]
- >>96
いんや、そっちじゃなくて
SSLCA〜
クライアント証明書を認証するためのサーバー側のCA証明書ストアを記述するディレクティブじゃない?
って話
- 101 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 00:08:24.10 0.net]
- Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
- 102 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 00:37:24.14 0.net]
- ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
自動で大量取得されないため?
でもオープンソースだからどうにでもなるよね
- 103 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 01:25:13.97 0.net]
- >>99
それ、初回だけだよ
ライセンス同意とメールアドレスの入力の内容は保存されるので
他のドメインで取得する場合でも、確認画面などは一切立ち上がらずコマンドのみでいける
- 104 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 01:38:51.57 0.net]
- 保存されると書いてあるだろ
- 105 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 01:40:32.68 0.net]
- >>97
ああ、なぜそのディレクティブが〜ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないw
- 106 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 01:40:37.79 0.net]
- それなら尚更あの画面を出す意味がわからない
全部CUIでいいじゃん
--debug とかログとか見ると、あれのために python の追加モジュールとか
色々インストールさせられるみたいなんだけど
普段 python なんか使わないからゴミが増えて邪魔なんだよなぁ
- 107 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 01:42:54.51 0.net]
- SSLCACertificateFile じゃなくて SSLCertificateFile が正解だと思うんだが
まだ Apache2.2 使いだから Apache2.4 のことはよくわからない
- 108 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 01:45:13.55 0.net]
- あ、ちょい古の 2.2 は SSLCertificateChainFile が正解かな
- 109 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 08:08:46.18 0.net]
- >>95
そんな恐ろしいことできるわけない
- 110 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 08:53:41.24 0.net]
- >>95
内部向けは内部にCA作ってWindowsのポリシーで信頼させてる
WindowsでActiveDirectoryのみになるけどこれが楽
- 111 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 10:58:03.26 0.net]
- >>105
最新の Apache でも同じ。obsolute だけど。
- 112 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/09(水) 11:15:45.46 0.net]
- ./letsencrypt-auto --apache で全自動で作ったやつは
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
となってるな、Apacheは 2.4.7
- 113 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/10(木) 18:05:22.42 0.net]
- Value Serverで使いたいんだけど「プライベートキーのパスワード」欄には何を入力すれば良いのでしょうか?
証明書は発行してもらいました
- 114 名前:名無しさん@お腹いっぱい。 [2015/12/10(木) 18:55:01.81 0.net]
- >>110
Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要
もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー
- 115 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/10(木) 20:26:22.38 0.net]
- パスワード設定しないとできなかったはず
共有レンサバとはいえ秘密鍵を盗める状況じゃ
他が詰んでる気がするんだけどどうなの
あともう直ってるかもしれないけど
俺がやったときはCA証明書がエラーで設定できなかったよ
サポートに言えばやってくれるけど3ヶ月ごとに連絡は面倒だわな
- 116 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/10(木) 20:32:48.72 0.net]
- 110です。
パスワードの入力は必須とありますね。
正常に接続出来た様です。ありがとうございました。
- 117 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/11(金) 12:31:35.87 0.net]
- RapidSSLが来年頭で更新だけど、Lets導入でトラブルのも嫌だし、とりあえずもう1年だけ更新しようかなぁ
すでにサブドメインで何十とサイトがあると導入失敗リスク高いよね多分
まぁテスト環境でも作っていっぺん導入してみるか
- 118 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/11(金) 17:19:03.62 0.net]
- >>114
Rapid は値上げしたから他のにしたら。
- 119 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/12(土) 00:33:14.50 0.net]
- 俺たちの、オレオレ認証局をネットワークでつなげよう!
- 120 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/12(土) 04:12:10.47 0.net]
- >>116
俺だよ俺、俺だけどさ
え、俺って誰だって? いや俺は俺だよ
メールで添付したルート証明書、インストールしてくれない?
- 121 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/12(土) 09:32:37.34 0.net]
- そんなあなたに究極のオレオレ証明書
www.cacert.org
- 122 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/13(日) 00:55:30.07 0.net]
- そろそろ Public Beta から一週間経つから
5 domain 制限越えられるかなってやったら追加で証明書取れたよ。
- 123 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/13(日) 01:16:21.23 0.net]
- https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769
- 124 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/14(月) 02:02:14.90 0.net]
- 実サーバー1台でたくさんドメイン持ってると単純にcronで定期更新ってわけにはいかないなぁ
5ドメインずつ分けて週一で取得or更新しにいくドメイン管理スケジューラみたいなのが無いと
ややこしいことになりそうだ
週に5ドメインで、60日に一度更新が推奨されてるからざっくり最大40ドメインが限界か
- 125 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/14(月) 03:01:54.79 0.net]
- cron で毎日証明書の期限をチェック。
期限が 30〜40 日前程度になった証明書は更新させてしまう。
って言うような単純なスクリプトを書いて回してるよ。
Too many うんたらで週制限掛かっても、cron で毎日勝手にリトライすることになるから
制限が外れ次第順次更新いけるはず。
更新周期は 60 日に一度とかなっているけど、実際にはもっと速く更新は出来るからなー。
- 126 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/14(月) 21:44:41.53 0.net]
- ちょっとシェルスクリプトのテストしてたら
更新しすぎでエラーになってしまった
もうちょっと緩和してくれんかな
1IPあたりの制限とか、1アカウントあたりの制限とか、色々
- 127 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/14(月) 21:46:04.70 0.net]
- テスト用のAPI Endpointがないのがイケてない
- 128 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/14(月) 22:16:53.59 0.net]
- 善意の有志で翻訳してくれてるからあまり言いたくないけど日本語サイトの人
クライアントの使い方を翻訳してくれるのはいいんだけど --standalone モードで
一度 httpd を落として 80番を落とさないといけないように書いてあるけど
これってやっぱ導入のハードル上げてると思うのよね
本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
この方法を知ってればもっと早く導入してたしさ
どっちにしろ総合的に色々煩雑な印象がして
無料の StartSSL でいいやってなってしまうわ
- 129 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/14(月) 22:31:10.50 0.net]
- でもstartsslって対応してないブラウザ多いんじゃなかったっけ
- 130 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 01:15:10.82 0.net]
- おまえはなにをいっているんだ?
- 131 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 02:22:13.01 0.net]
- >>126
いつの話をしてるんだ?
2009年には主要3ブラウザで使えるようになってるぞ。
- 132 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 09:49:11.00 0.net]
- >>125
> 一度 httpd を落として 80番を落とさないといけないように書いてあるけど
> これってやっぱ導入のハードル上げてると思うのよね
>
> 本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
> この方法を知ってればもっと早く導入してたしさ
まったくだ。
そいでもって
>>123
> ちょっとシェルスクリプトのテストしてたら
> 更新しすぎでエラーになってしまった
とすっかり同じ状態。こまったもんだ。
- 133 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 11:07:53.90 0.net]
- だからベータテスト中だってばよ
- 134 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 11:15:32.43 0.net]
- 証明書再読み込みのためにHTTPDの再起動は必要だろ
人によるのだろうが、自分の場合は今までオレオレ証明書だったSTG環境やバックエンド用ドメインなので、
IP制限やBasic認証が掛かっているために設定を変更しなければならない
それならstandaloneの方が便利だし楽
- 135 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 13:23:53.78 0.net]
- 90日は短いな。
- 136 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 13:40:59.50 0.net]
- postfixやdovecotのca鍵設定する場所にはfullchain指定しておけばいいんですかね?
一応それでgoogleとの暗号化通信はsmtpsもpop3sでfetchも成功したけど正しい設定か不安
- 137 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 16:40:56.77 0.net]
- Apache2.4 でどうなってるか知らんけど 2.2 なら apache2ctl -k graceful で gracefully restart すれば
サービスとしては無停止で再読み込みできる
httpd stop -> letsクライアント起動 -> httpd start より100倍マシ
nginx も reload で無停止再読み込みいけるんじゃなかったっけ?
- 138 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 16:41:16.97 0.net]
- >>133
それでよいと思うよ。openssl s_client -connect で大丈夫ならOK.
ここは中間証明書は親切だね。
comodoなんか3tもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。
- 139 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 17:31:11.78 0.net]
- >>133
正しい設定かと言われるとたぶんNO
暗号化通信成功してるから結果オーライというならYES
- 140 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 19:21:01.52 0.net]
- そう言えば MTA に使うのも楽だよな。
httpd 側でデフォルトサーバーを用意して、mx のホスト名を httpd に定義しなければ
デフォルトサーバーに回るから、そのまま --webroot で更新行ける。
- 141 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 20:30:30.46 0.net]
- MTAはオレオレでいいから
- 142 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 20:38:02.89 0.net]
- オレオレで良いならそのままにしておけば良いわけで、食い付くほどの事でもないだろw
- 143 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 20:48:18.29 0.net]
- なーんか
postfix やら dovecot とかにレッツのサーバー証明書を設定したりする人現れてるし
無駄無駄無駄無駄〜って叫びたかっただけ
あ、イントラネットとかセキュアな通信が必須な相手で事前に合意した2者間とかはまた別だけどね
- 144 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 21:32:34.01 0.net]
- 実際に必要かどうか言われると、オレオレで良いとも思うけど
そこは “面白そうだから“ という正当な理由で Postfix や Dovecot にも Let's の証明書つかってるよ!
- 145 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 21:41:15.42 0.net]
- gmailからのメール転送に必須なんだよな>サーバ証明書
- 146 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/15(火) 23:38:10.88 0.net]
- へーそうなんだ
じゃ無駄じゃないね
- 147 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/17(木) 01:57:29.79 0.net]
- いやー
考えてみれば当たり前の話なんだが
SubjectAltName にドメイン羅列するためにいっぱい -d を指定したら、
指定したドメイン1個1個に対してチェックのために接続してくるんだね
プライマリMX と セカンダリMX の証明書を1個にまとめようとしたら
let's Encrypt の居ない セカンダリMX の 80 番ポートにチェックしに来てエラーになって
しまった
- 148 名前:名無しさん@お腹いっぱい。 [2015/12/17(木) 15:35:19.97 0.net]
- -d っていくつ書いてもいいの?
-d でトップドメインが違うのでも良いの JP と gtld がごちゃ混ぜ
- 149 名前:名無しさん@お腹いっぱい。 [2015/12/18(金) 19:11:19.16 0.net]
- >>125 >>129
今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
https://letsencrypt.jp/usage/
>>144
証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100〜200のドメインを列挙
- 150 名前:しても、
一般ユーザーのページの表示が遅くなったりはしない(証明書の容量が増えるのは誤差範囲)
>>145
いくつ書いてもおk
TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名(SAN : Subject Alternative Name)が使われた1枚の証明書になるから、
SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要(Windows Vista以降はSNI対応)
詳しくは https://letsencrypt.jp/docs/using.html#webroot を参照 [] - [ここ壊れてます]
- 151 名前:名無しさん@お腹いっぱい。 mailto:sage [2015/12/18(金) 19:26:25.57 0.net]
- >>146
おう
ありがとう日本語の中の人
|
 |
[ 続きを読む ] / [ 携帯版 ] 
前100
次100
最新50
▲ [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<264KB
read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef