Ubuntu 20.04でLet’s Encryptを使用してApacheを保護する方法
By Erika Heidi
はじめに
Let’s Encryptは、無料のTLS /SSL証明書の取得ならびにインストール、またWebサーバーでのHTTPS暗号化の有効を円滑にする認証局(CA)です。必要な手順のほとんど(すべてではないにしても)の自動化を試みるソフトウェアクライアントCertbotを提供することにより、プロセスを簡素化します。 現在、証明書の取得とインストールのプロセス全体は、ApacheとNginxの両方で完全に自動化されています。
このチュートリアルでは、Certbotを使用してUbuntu 20.04にインストールされたApacheに無料のSSL証明書を取得し、証明書が自動更新されるように設定します。
このチュートリアルでは、Apacheのデフォルト設定ファイルの代わりに、個別の仮想ホストファイルを使用して、Let’s Encryptで保護するWebサイトをセットアップします。 アドバイス:各ドメインに新しいApache仮想ホストファイルを作成すると、よくある間違いを回避しデフォルトファイルをフォールバック設定として維持するのに役立ちます。
前提条件
このチュートリアルを実行するには、次のものが必要です。
- Ubuntu 20.04初期サーバーセットアップチュートリアルに従ってセットアップされたUbuntu 20.04サーバー1台、sudo権限を持つroot以外のユーザーおよびファイアウォール。
- 完全に登録されたドメイン名。このチュートリアルでは、例としてyour_domainを使用します。Namecheapからドメイン名を購入またはFreenomから無料で取得するか、あるいはお好みのドメインレジストラーを使用できます。
- 次の2つのDNSレコードがサーバーにセットアップされています。 これらの追加方法は、DigitalOcean DNSの紹介をご覧ください。
- サーバーのパブリックIPアドレスを指す
your_domain
を持つAレコード。 - サーバーのパブリックIPアドレスを指す
www.your_domain
を持つAレコード。
- サーバーのパブリックIPアドレスを指す
- Ubuntu 20.04にApacheをインストールする方法に従ってインストールされたApache。ドメイン用に仮想ホストファイルがあることを確認してください。このチュートリアルでは、例として
/etc/apache2/sites-available/your_domain.conf
を使用します。
ステップ1— Cerbotのインストール
Let’s Encryptを使用してSSL証明書を取得するには、まずサーバーにCertbotソフトウェアをインストールします。ここではデフォルトのUbuntuパッケージリポジトリを使用します。
certbot
とpython3-certbot-apache
の2つのパッケージが必要です。python3-certbot-apacheは、CertbotをApacheと統合するプラグインで、証明書の取得やWebサーバー内のHTTPS設定がコマンド1つで自動化できます。
Y
、ENTER
キーを押すと、Apacheのインストールの確認を求める画面が表示されます。
これでCertbotがサーバーにインストールされました。次のステップでは、Apacheの設定を検証し、仮想ホストが適切に設定されたことを確認します。これによって、certbot
クライアントスクリプトがドメインを検出し、Webサーバーを再設定して新たに生成したSSL証明書を自動的に使用できるようになります。
ステップ2 — Apache仮想ホスト設定の確認
WebサーバーでSSLを自動的に取得・設定できるようにするには、CertbotがApache設定ファイルの中で正しい仮想ホストを見つける必要があります。サーバードメイン名は、VirtualHost
設定ブロックで定義されたServerName
とServerAlias
ディレクティブから取得されます。
Apacheインストールチュートリアル ー 仮想ホストの設定に従った場合、ドメインのVirtualHostブロックは/etc/apache2/sites-available /your_domain.con
fにセットアップされているはずです。また、ServerNam
eとServerAlia
sディレクティブも適切に設定されているはずです。
確認するには、nano
またはお好みのテキストエディターを使用してドメインの仮想ホストファイルを開きます。
既存のServerName
とServerAlias
行を検索します。次のようになります。
...
ServerName your_domain
ServerAlias www.your_domain
...
ServerName
とServerAlias
がこのようにセットアップされている場合は、テキストエディターを終了して、次の手順に進みます。 nano
を使用した場合は、CTRL
+ X、Y
、ENTER
キーを押し、終了します。
現在の仮想ホスト設定が例のとおりでなければ、適宜更新します。完了したら、ファイルを保存してエディターを終了します。次に、以下のコマンドを実行して変更を検証します。
Syntax OK
が返ってきます。 エラーが発生した場合は、サーバーブロックファイルを再度開いて、入力ミスや文字の欠落を確認してください。設定ファイルの構文が正しければ、Apacheをリロードして変更を有効にします。
これでCerbotは正しいVirtualHostブロックを探して更新します。
次に、ファイアウォールを更新してHTTPSトラフィックを許可します。
ステップ3 — ファイアウォールを介したHTTPSの許可
前提条件ガイドで推奨されているように、ufwファイアウォールを有効にした場合、HTTPSトラフィックを許可するように設定を調整する必要があります。インストール時に、ApacheはUFWアプリケーションプロファイルをいくつか登録します。 Apache Fullプロファイルを活用して、HTTPとHTTPSの両トラフィックをサーバーに許可できます。
現在、サーバーで許可されているトラフィックの種類を確認するには、以下を使用します。
Apacheのインストールガイドに従った場合、出力結果はこのようになります。つまり、現在ポート80
でHTTPトラフィックのみ許可されている、ということになります。
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache (v6) ALLOW Anywhere (v6)
HTTPSトラフィックも許可する場合は、「Apache Full」プロファイルを許可し、重複する「Apache」プロファイルを削除します。
ステータスは次のようになります。
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache Full (v6) ALLOW Anywhere (v6)
これで、Certbotを実行して、証明書を取得する準備ができました。
ステップ4 — SSL証明書の取得
Certbotは、プラグインを介してSSL証明書を取得するさまざまな方法を提供します。Apacheプラグインは、必要に応じてApacheの再設定と設定の再読み込みを処理します。このプラグインを使用するには、次を入力します。
このスクリプトは、SSL証明書を設定するために、一連の質問に答えるよう求められます。まず、有効なメールアドレスを求められます。 このメールアドレスは、更新通知とセキュリティ通知に使用されます。
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): you@your_domain
有効なメールアドレスを入力した後、ENTER
キーを押して、次のステップに進みます。次に、Let’sEncryptのサービス利用規約に同意するかどうかを尋ねられます。確認するにはA
に続けてEnter
キーを押します。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
404 Page not found - Let's EncryptLet'sEncryptisafree,automated,andopencertificateauthoritybroughttoyoubythenonprofitInternetSecurityResearchGroup(ISRG).Readallaboutournonprofitworkthisyearinour... You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A
次に、Electronic Frontier Foundation (電子フロンティア財団)にメールアドレスを知らせてニュース等の情報を受け取るかを尋ねられます。受け取らない場合は、N
キーを押します。それ以外はY
、ENTER
キーを押して、次のステップに進みます。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
次のステップでは、HTTPSをアクティブにしたいドメインをCertbotに通知するかを尋ねられます。ドメイン名の一覧がApache仮想ホスト設定から自動取得されるので、ServerName
とServerAlias
が仮想ホストで正しく設定されているか確認することが重要です。一覧にある全ドメイン名のHTTPSを有効にする (推奨)場合、プロンプトには何も入力せずENTER
キーを押して次へ進みます。 それ以外の場合は、 HTTPSを有効にしたいドメインの番号を、コンマおよび/またはスペースで区切りながら列挙して選択し、ENTER
キーを押します。
Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: your_domain
2: www.your_domain
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):
出力は次のようになります。
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for your_domain
http-01 challenge for www.your_domain
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/your_domain-le-ssl.conf
Enabled Apache socache_shmcb module
Enabled Apache ssl module
Deploying Certificate to VirtualHost /etc/apache2/sites-available/your_domain-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/your_domain-le-ssl.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-available/your_domain-le-ssl.conf
次に、HTTPトラフィックをHTTPSにリダイレクトするかどうか選択を求められます。具体的には、訪問ユーザーが暗号化されていないチャネル(HTTP)を通じてWebサイトを訪問すると、自動的にそのWebサイトのHTTPSアドレスにリダイレクトされます。リダイレクトを有効にする場合は2
を、HTTPとHTTPSをそれぞれ別のWebサイトアクセス方式にしておく場合は1
を選択します。
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
これでCertbotの設定は完了です。新しい証明書、生成ファイルの場所、証明書の信頼性を分析する外部ツールによる設定テストのやり方について最終的なコメントが表示されます。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://your_domain and
https://www.your_domain
You should test your configuration at:
SSL Server Test (Powered by Qualys SSL Labs)AcomprehensivefreeSSLtestforyourpublicwebservers.your_domain
https://www.ssllabs.com/ssltest/analyze.html?d=www.your_domain
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/your_domain/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/your_domain/privkey.pem
Your cert will expire on 2020-07-27. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the "certonly" option. To non-interactively renew *all* of
your certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
証明書がインストールされ、 Apacheの設定にロードされます。https://
を使用してウェブサイトをリロードしてみて、ブラウザのセキュリティインジケータに注目してください。アドレスバーのロックアイコンなどで、サイトが適切に保護されていることが示されるはずです。
SSL Labs Server Testを使用すれば、証明書のグレードと詳細情報を外部サービスの観点から確認できます。
最後のステップでは、証明書を有効期限前に確実に自動更新させる、Certbotの自動更新機能をテストします。
ステップ5 — Certbotの自動更新の検証
Let’s Encryptの証明書は90日間のみ有効です。これは、誤用された証明書や盗まれたキーがほどなく期限切れになるように、ユーザーが証明書更新プロセスを自動化するよう奨励するためです。
インストールされたcertbot
パッケージは、certbot.timer
というsystemctl
サービスによって管理されている/etc/cron.d
の中に更新スクリプトを置くことにより、更新処理を行います。 このスクリプトは、1日に2回実行され、有効期限の30日以内にある証明書を自動更新します。
このサービスのステータスや、アクティブで実行中であることを確認するには、以下を入力します。
次のような出力が表示されます。
● certbot.timer - Run certbot twice daily
Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Tue 2020-04-28 17:57:48 UTC; 17h ago
Trigger: Wed 2020-04-29 23:50:31 UTC; 12h left
Triggers: ● certbot.service
Apr 28 17:57:48 fine-turtle systemd[1]: Started Run certbot twice daily.
更新プロセスをテストするには、certbot
でドライランを実行できます。
エラーが表示されなければ、設定は完了です。 必要に応じて、Certbotは証明書を更新し、Apacheをリロードして変更を反映します。自動更新プロセスが失敗した場合、Let’s Encryptは指定したメールアドレスにメッセージを送信し、証明書の有効期限が近づいていることを警告します。
まとめ
このチュートリアルでは、Let’s Encryptクライアントcertbot
のインストール、SSL証明書の設定またインストールをドメインにおこないました。さらにCertbotの自動更新サービスがsystemctl
内で有効になっていることも確認しました。Certbotの使用についてさらに知りたい場合は、公式ドキュメントから始めるとよいでしょう。
Let’s Encrypt の証明書の更新を自動化する手順 (cron)
無料で SSL/TLS 証明書を発行できる Let’s Encrypt の証明書有効期限は3ヶ月間です。 有効期限が近づくと Let’s Encrypt からその旨をお知らせするメールが届くわけですが、毎回手作業で certbot renew コマンドを実行するのは面倒です。 ここでは、Let’s Encrypt の証明書の更新を cron で自動化する手順について解説します。
手順の概要
どんな Linux ディストリビューションでも、指定したコマンドを定期的に自動で実行してくれる cron がインストールされています。 この cron を利用して、Let’s Encrypt の証明書を更新してくれる certbot renew コマンドを定期的に実行するようにしてあげれば良いでしょう。
cron を設定する前に
ここから具体的に cron に設定するコマンドを解説していきますが、その前に知っておくと便利なコマンドがあります。 certbot renew コマンドには、シミュレーション実行する –dry-run オプションがあります。 このオプションをつけておくと、実際には証明書の更新を行いません、シミュレーションをするだけになります。 ですので、cron に設定するコマンドが定まるまでは、この –dry-run オプションをつけながら検証することをおすすめします。
certbot renew --dry-run
cron のコマンドを構築する
さて、それでは cron に証明書の更新コマンドを設定していきましょう。 なお、ここでは少しずつ機能を追加していきますので、一度この記事を一通り目を通してご自身に必要なコマンドを利用していただくか、–dry-run オプションをつけながらコマンドを実行してください。
また、証明書の更新には root 権限が必要ですので、root ユーザーの cron に設定するようにしてください。
$ crontab -u root -e
最小限のコマンド
まずは最小限のコマンドを考えてみましょう。 cron に次のように設定すると、定期的に自動で証明書を更新してくれます。 ここでは例として、毎月1日の深夜4:00に証明書を更新するようにします。
00 04 01 * * certbot renew
WEBサーバーも再起動させる
Let’s Encrypt で発行したSSL/TLS証明書を Apache httpd や Nginx などのWEBサーバーに設定している場合が多いでしょう。 その場合、SSL/TLS証明書を更新したあとにWEBサーバーを再起動する必要があります。 この場合は、次のようにコマンドを設定するのが良いでしょう。
# Apache httpd を利用している場合の例 (CentOS 6 の場合)
00 04 01 * * certbot renew && service httpd restart
# Apache httpd を利用している場合の例 (CentOS 7 の場合)
00 04 01 * * certbot renew && systemctl restart httpd
# Nginx を利用している場合の例 (CentOS 7 の場合)
00 04 01 * * certbot renew && systemctl restart nginx
証明書の更新結果をメールで受け取る
さて、ここまでのコマンドで証明書の更新は実現できますが、証明書の更新結果をメールで受け取れると便利でしょう。 次のように mail コマンドに結果を食わせることで、結果をメールで受け取ることができます。 ここでは例として、タイトル「Let’s Encrypt update information」というメールを「myname@mydomain.com」に送ります。
00 04 01 * * certbot renew --dry-run 2>&1 | mail -s "Let's Encrypt update information" myname@mydomain.com && systemctl restart httpd
これで証明書の更新し忘れなどを防げる自動化の仕組みが完成です。 ぜひご利用のサーバーに設定してみてください。
コメント