KusanagiにLet’sEncrypt

Kusanagiで作った当ブログにLet’sEncryptを仕込んでみました。
意外と簡単にできるのね。

お陰でSSLで警告が出てたURLもちゃんと表示されるようになりました!
後は、httpでアクセスしてきたら、httpsにリダイレクトする設定を入れるくらいかな。
SSLの方が何かと都合がいいので。

ちなみに、Let’sEncryptは期限が一ヶ月らしいです。
なので来月また同じことやらないといけない?
まあ、その時は自動でやってくれるスクリプト仕込めばいいか。

というわけで、Let’sEncryptの設定手順はコチラ!

certbotのインストール

これは yum でやります。
一行目のやつは、kusanagiに最初から入ってたので、2行目からでOK

 

 

証明書のインストール

certbotのインストールが完了したら、証明書をインストールします。
–webroot をつけておかないと、80ポートが起動済みだって怒られるのでつけておきましょう。

-w はルートディレクトリ。
kusanagiの場合は、/home/kusanagi/ の中にルートディレクトリがあるのでそれを指定しましょう。

-d がSSLを証明したいドメイン。
このサイトだと、yoidukigembu.comがそれに当たります。

これを全部組み合わせると…

 

これでこんなメッセージが表示されたらOKです。

IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/yoidukigembu.com/fullchain.pem. Your cert
will expire on 2017-05-22. To obtain a new or tweaked version of
this certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run “certbot
renew”
– If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

証明書設定

これが終わったら、nginxかapacheのsslconfに取得した証明書を設定します。
kusanagiの場合は、/etc/nginx/conf.d/[user]_ssl.conf です。
このファイルを開いて、2行変更するだけです。

ssl_certificate のところに、fullchain.pemを設定
ssl_certificate_keyのところに、privkey.pemを設定

当サイトの場合、こうなります。

 


あとは、nginxかapacheを再起動したら完了!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.