IDC Frontier Inc. All rights reserved.

ATSでも使える！Let's Encryptで無料ではじめるSSL

なぜ常時SSLなのか？いまからでも間に合うATS対策！

株式会社IDCフロンティア

エバンジェリストグループ 神谷 拳四郎

2016/12/19

2

IDC Frontier Inc. All rights reserved.

自己紹介

・静岡県三島市出身

・2016年4月入社（社会人1年目！）

・提案活動、セミナー対応

趣味：仮面ライダー バレーボール ロードバイク

週末は大体多摩川でサイクリング

カミヤ ケンシロウ

神谷 拳四郎

3

IDC Frontier Inc. All rights reserved.

アジェンダ

・Let’s Encryptについて

・Let’s Encryptの導入手順

・導入時の注意点

4

IDC Frontier Inc. All rights reserved.

Let’s Encryptについて

5

IDC Frontier Inc. All rights reserved.

一般的な証明書

ドメイン数が増えればコストと手間も増大していく

コスト 手間

・発行/更新費用

・安くても年間1000円〜

・Webサーバーへの設定

・証明書の発行/更新作業

・CSR(証明書署名要求)の作成

6

IDC Frontier Inc. All rights reserved.

Let’s Encryptなら

無料

コストがかからず、お手軽に ATSの要件を満たした証明書が使える

証明書の取得・設定・更新

全て自動

コスト 手間

7

IDC Frontier Inc. All rights reserved.

Let’s Encryptの導入手順

8

IDC Frontier Inc. All rights reserved.

デモ環境

・IDCFクラウド(仮想マシン・ILB)

・CentOS 6.8 64bit

・Apache 2.2.15

https://letsencrypt.jp/usage/

Internet

ILB

…

その他のOSなど、対応状況は公式をご覧ください

Web Web

9

IDC Frontier Inc. All rights reserved.

導入の流れ

1.環境設定

2.インストール

3.証明書取得/設定 ・Certbotクライアントの実行 ・証明書の取得

・EPELリポジトリの有効 ・Certbotクライアントのインストール

・ファイアウォールの設定 ・DNSの設定

10

IDC Frontier Inc. All rights reserved.

環境設定

ファイアウォールの設定 Let‘s Encrypt のサーバーから、WebサーバーのTCP Port 80 と TCP Port 443 に 接続することで、ドメイン所有者であることの認証が行われる

対象の仮想ルーターの ファイアウォールに必ず設定

コメント ソースCIDR タイプ ポートレンジ

HTTP Anyを選択 (0.0.0.0/0) HTTPを選択 80

HTTPS Anyを選択 (0.0.0.0/0) HTTPSを選択 443

11

IDC Frontier Inc. All rights reserved.

環境設定

DNSの設定 対象のマシンにドメイン名でアクセスできないと、証明書の作成に失敗する あらかじめドメイン名のAレコードを設定する

12

IDC Frontier Inc. All rights reserved.

EPELリポジトリの有効

#yum –y install epel-release

Certbotクライアントのインストール

#wget https://dl.eff.org/certbot-auto

#chmod a+x certbot-auto

#./certbot-auto

インストール

13

IDC Frontier Inc. All rights reserved.

Certbotクライアントの実行 秘密鍵・公開鍵・署名リクエスト（CSR）の作成はCertbotクライアントで行う

#./certbot-auto TUIが表示され、対話的に設定が可能に

証明書取得/設定

14

IDC Frontier Inc. All rights reserved.

証明書取得/設定

対象のドメイン名の設定 SSL/TLS サーバ証明書の取得を希望するドメイン名を指定

・ドメイン名の入力

・＜了解＞で次のステップへ

15

IDC Frontier Inc. All rights reserved.

証明書取得/設定

・メールアドレスの入力

・＜了解＞で次のステップへ

メールアドレスの設定 鍵を紛失したときの復旧、証明書の有効期限が近付いた場合などの通知に使用

16

IDC Frontier Inc. All rights reserved.

証明書取得/設定

・確認して問題なければ、

＜Agree＞で次のステップへ

利用規約の同意

17

IDC Frontier Inc. All rights reserved.

証明書取得/設定

・＜Select＞で次のステップへ

Apacheの設定ファイルの確認 Certbotが自動で設定する

18

IDC Frontier Inc. All rights reserved.

証明書取得/設定

Easy :HTTPとHTTPSどちらも許可

Secure :HTTPSのみ許可

ここではEasyを選択し<OK>

通信プロトコルの設定

19

IDC Frontier Inc. All rights reserved.

証明書取得/設定

・＜了解＞で次のステップへ

証明書取得完了

20

IDC Frontier Inc. All rights reserved.

証明書取得/設定

証明書の取得完了 CLIに切り替わり、証明書情報が表示される

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at

/etc/letsencrypt/live/ats.kenshiroh.sa.egg.jp/fullchain.pem. Your

cert will expire on 2017-03-15. To obtain a new or tweaked version

of this certificate in the future, simply run certbot-auto again

with the "certonly" option. To non-interactively renew *all* of

your certificates, run "certbot-auto renew"

- If you like Certbot, please consider supporting our work by:

証明書のパス

証明書の期限

21

IDC Frontier Inc. All rights reserved.

証明書取得/設定

ILBへの証明書登録

/etc/letsencrypt/archive/ドメイン名

/privkey.pem

/etc/letsencrypt/archive/ドメイン名

/cert.pem

/etc/letsencrypt/archive/ドメイン名

/chain.pem

各ディレクトリにある証明書を登録

22

IDC Frontier Inc. All rights reserved.

コンテンツキャッシュでも 同様の手順で登録できます

証明書取得/設定

23

IDC Frontier Inc. All rights reserved.

導入時の注意

24

IDC Frontier Inc. All rights reserved.

導入時の注意点

・デフォルトではECDHE-RSAで証明書が作成される

-ECDHE-ECDSA証明書の作成はCSRを作成する必要あり

・ILBの証明書の更新は手動で行う必要がある

-Let’s Encryptの証明書の期限は90日と短めなので注意

25

IDC Frontier Inc. All rights reserved.