ATSでも使える!Let's encryptで無料ではじめるSSL
-
Upload
idc-frontier -
Category
Technology
-
view
54 -
download
1
Transcript of ATSでも使える!Let's encryptで無料ではじめるSSL
IDC Frontier Inc. All rights reserved.
ATSでも使える!Let's Encryptで無料ではじめるSSL
なぜ常時SSLなのか?いまからでも間に合うATS対策!
株式会社IDCフロンティア
エバンジェリストグループ 神谷 拳四郎
2016/12/19
2
IDC Frontier Inc. All rights reserved.
自己紹介
・静岡県三島市出身
・2016年4月入社(社会人1年目!)
・提案活動、セミナー対応
趣味:仮面ライダー バレーボール ロードバイク
週末は大体多摩川でサイクリング
カミヤ ケンシロウ
神谷 拳四郎
5
IDC Frontier Inc. All rights reserved.
一般的な証明書
ドメイン数が増えればコストと手間も増大していく
コスト 手間
・発行/更新費用
・安くても年間1000円〜
・Webサーバーへの設定
・証明書の発行/更新作業
・CSR(証明書署名要求)の作成
6
IDC Frontier Inc. All rights reserved.
Let’s Encryptなら
無料
コストがかからず、お手軽に ATSの要件を満たした証明書が使える
証明書の取得・設定・更新
全て自動
コスト 手間
8
IDC Frontier Inc. All rights reserved.
デモ環境
・IDCFクラウド(仮想マシン・ILB)
・CentOS 6.8 64bit
・Apache 2.2.15
https://letsencrypt.jp/usage/
Internet
ILB
…
その他のOSなど、対応状況は公式をご覧ください
Web Web
9
IDC Frontier Inc. All rights reserved.
導入の流れ
1.環境設定
2.インストール
3.証明書取得/設定 ・Certbotクライアントの実行 ・証明書の取得
・EPELリポジトリの有効 ・Certbotクライアントのインストール
・ファイアウォールの設定 ・DNSの設定
10
IDC Frontier Inc. All rights reserved.
環境設定
ファイアウォールの設定 Let‘s Encrypt のサーバーから、WebサーバーのTCP Port 80 と TCP Port 443 に 接続することで、ドメイン所有者であることの認証が行われる
対象の仮想ルーターの ファイアウォールに必ず設定
コメント ソースCIDR タイプ ポートレンジ
HTTP Anyを選択 (0.0.0.0/0) HTTPを選択 80
HTTPS Anyを選択 (0.0.0.0/0) HTTPSを選択 443
11
IDC Frontier Inc. All rights reserved.
環境設定
DNSの設定 対象のマシンにドメイン名でアクセスできないと、証明書の作成に失敗する あらかじめドメイン名のAレコードを設定する
12
IDC Frontier Inc. All rights reserved.
EPELリポジトリの有効
#yum –y install epel-release
Certbotクライアントのインストール
#wget https://dl.eff.org/certbot-auto
#chmod a+x certbot-auto
#./certbot-auto
インストール
13
IDC Frontier Inc. All rights reserved.
Certbotクライアントの実行 秘密鍵・公開鍵・署名リクエスト(CSR)の作成はCertbotクライアントで行う
#./certbot-auto TUIが表示され、対話的に設定が可能に
証明書取得/設定
14
IDC Frontier Inc. All rights reserved.
証明書取得/設定
対象のドメイン名の設定 SSL/TLS サーバ証明書の取得を希望するドメイン名を指定
・ドメイン名の入力
・<了解>で次のステップへ
15
IDC Frontier Inc. All rights reserved.
証明書取得/設定
・メールアドレスの入力
・<了解>で次のステップへ
メールアドレスの設定 鍵を紛失したときの復旧、証明書の有効期限が近付いた場合などの通知に使用
17
IDC Frontier Inc. All rights reserved.
証明書取得/設定
・<Select>で次のステップへ
Apacheの設定ファイルの確認 Certbotが自動で設定する
18
IDC Frontier Inc. All rights reserved.
証明書取得/設定
Easy :HTTPとHTTPSどちらも許可
Secure :HTTPSのみ許可
ここではEasyを選択し<OK>
通信プロトコルの設定
20
IDC Frontier Inc. All rights reserved.
証明書取得/設定
証明書の取得完了 CLIに切り替わり、証明書情報が表示される
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/ats.kenshiroh.sa.egg.jp/fullchain.pem. Your
cert will expire on 2017-03-15. To obtain a new or tweaked version
of this certificate in the future, simply run certbot-auto again
with the "certonly" option. To non-interactively renew *all* of
your certificates, run "certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
証明書のパス
証明書の期限
21
IDC Frontier Inc. All rights reserved.
証明書取得/設定
ILBへの証明書登録
/etc/letsencrypt/archive/ドメイン名
/privkey.pem
/etc/letsencrypt/archive/ドメイン名
/cert.pem
/etc/letsencrypt/archive/ドメイン名
/chain.pem
各ディレクトリにある証明書を登録
24
IDC Frontier Inc. All rights reserved.
導入時の注意点
・デフォルトではECDHE-RSAで証明書が作成される
-ECDHE-ECDSA証明書の作成はCSRを作成する必要あり
・ILBの証明書の更新は手動で行う必要がある
-Let’s Encryptの証明書の期限は90日と短めなので注意