<h1 id="ssl%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">
<a class="header-anchor-link" href="#ssl%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> SSL証明書について</h1>
<p>さまざまなサイトでは、通信の暗号化やサイトの運用をしている組織の存在証明として「SSL証明書（サーバー証明書）」が使われています。SSL証明書は「認証局」と呼ばれる第三者によって発行を行う必要があるため、利用者にとって安全なサイトであることを提供するものになります。<br>
HTTPS通信対応のサイトが安心だと言われている理由の1つです。</p>
<h1 id="let's-encrypt%E3%81%A8%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#let's-encrypt%E3%81%A8%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> Let's Encryptとは？</h1>
<p>一言で説明すると「無料のSSL証明書」です。有効期限が90日しかありませんが、一番手頃に使えるSSL証明書になります。本番環境にも使用されることが多く、自動証明書更新システムを自作して運用する組織も一部います。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__2a68751ee517" src="https://embed.zenn.studio/card#zenn-embedded__2a68751ee517" data-content="https%3A%2F%2Fletsencrypt.org%2Fja%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://letsencrypt.org/ja/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://letsencrypt.org/ja/</a></p>
<h1 id="%E3%81%95%E3%81%A3%E3%81%9D%E3%81%8F-let's-encrypt%E8%A8%BC%E6%98%8E%E6%9B%B8-%E3%82%92%E7%99%BA%E8%A1%8C%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F">
<a class="header-anchor-link" href="#%E3%81%95%E3%81%A3%E3%81%9D%E3%81%8F-let's-encrypt%E8%A8%BC%E6%98%8E%E6%9B%B8-%E3%82%92%E7%99%BA%E8%A1%8C%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F" aria-hidden="true"></a> さっそく Let's Encrypt証明書 を発行してみた</h1>
<p>VirtualBoxやDockerなどの仮想環境で発行作業を行うことが多いです。今回は Docker を使用します。</p>
<h3 id="%EF%BC%881%EF%BC%89-docker%E3%81%A7centos-7%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%EF%BC%881%EF%BC%89-docker%E3%81%A7centos-7%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B" aria-hidden="true"></a> （1） DockerでCentOS 7を構築する</h3>
<div class="code-block-container"><pre><code>docker pull centos:centos7
docker run -it centos:centos7
</code></pre></div><p>以下のように表示されたらOK、CentOS 7の環境構築が完了しました。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/b01913e748b5-20220530.png" loading="lazy" class="md-img"></p>
<h3 id="%EF%BC%882%EF%BC%89-%E5%88%9D%E6%9C%9F%E8%A8%AD%E5%AE%9A-%2B-certbot%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%EF%BC%882%EF%BC%89-%E5%88%9D%E6%9C%9F%E8%A8%AD%E5%AE%9A-%2B-certbot%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%81%99%E3%82%8B" aria-hidden="true"></a> （2） 初期設定 + certbotをインストールする</h3>
<div class="code-block-container"><pre><code>yum -y install epel-release
yum -y install certbot
yum -y update
</code></pre></div><p>念のため、certbotが使用できるかチェックしましょう。</p>
<div class="code-block-container"><pre><code>certbot --version
</code></pre></div><p>以下のように表示されたらOK、これで証明書発行ができるようになりました。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/4a641d77bf66-20220530.png" loading="lazy" class="md-img"></p>
<h3 id="%EF%BC%883%EF%BC%89-%E3%83%AF%E3%82%A4%E3%83%AB%E3%83%89%E3%82%AB%E3%83%BC%E3%83%89%E8%A8%BC%E6%98%8E%E6%9B%B8%E7%99%BA%E8%A1%8C%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%EF%BC%883%EF%BC%89-%E3%83%AF%E3%82%A4%E3%83%AB%E3%83%89%E3%82%AB%E3%83%BC%E3%83%89%E8%A8%BC%E6%98%8E%E6%9B%B8%E7%99%BA%E8%A1%8C%E3%81%99%E3%82%8B" aria-hidden="true"></a> （3） ワイルドカード証明書発行する</h3>
<p>今回は、 koki-techblog.com ドメインを使った想定で紹介します。</p>
<div class="code-block-container"><pre><code>certbot certonly --manual \
 --preferred-challenges dns \
 -d *.koki-techblog.com \
 -d koki-techblog.com \
 --email &lt;メールアドレス&gt; \
 --agree-tos \
 --manual-public-ip-logging-ok
</code></pre></div><p>必要項目を入力して、実行すると 通知メールを送りたいからメールアドレスを提供してくださいと質問されるため、「Y」を入力して実行する。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/22cc6b3602b4-20220530.png" loading="lazy" class="md-img"><br>
_acme-challengeドメイン名のTXTレコードに「T2WubuRvzXm3CNJjqIGRUTDfi-mWIlDbwscYTEzJ1Og」を追加してください。と依頼されました。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/9227ea0947e4-20220530.png" loading="lazy" class="md-img"><br>
私は、 Azure DNSを愛用しているため ここにTXTレコードを登録してみます。その後、Enterキーを押下してください。※ TTLを3600秒にしていますが、特に意味はないです。300秒など短時間でも可能です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/7c61b3c01d8a-20220530.png" loading="lazy" class="md-img"><br>
押下後、2つ目のTXTレコードを追加してください。と提示されますが、やらなくていいです。<br>
ただ、1つ目のTXTレコードが浸透するまで2~3分待ってください。その後、Enterキーを押下してください。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/93a4680d9ec8-20220530.png" loading="lazy" class="md-img"><br>
以下のように表示されたらOK<br>
<img src="https://storage.googleapis.com/zenn-user-upload/73246f814298-20220531.png" loading="lazy" class="md-img"></p>
<blockquote>
<p>/etc/letsencrypt/live/koki-techblog.com</p>
</blockquote>
<p>の直下に、何種類かの証明書が生成されました。と表記されているため、確認してみます。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/5497236c1974-20220531.png" loading="lazy" class="md-img"></p>
<p>問題なさそうですね、PEM形式で証明書が発行されました。<br>
PEM証明書で良ければ docker cp コマンドを使い ローカルにDLして完了ですね。<br>
ただ、AzureリソースやWindowsサーバーでは PEMではなくPFX証明書を推奨しているので変換してみます。</p>
<div class="code-block-container"><pre><code>cp -r ../../etc/letsencrypt/archive/koki-techblog.com .
cd koki-techblog.com/
openssl pkcs12 -export -in fullchain1.pem -inkey privkey1.pem -out kokitechblogcomwildcard.pfx
</code></pre></div><p>opensslコマンドを実行後、パスワード入力を求められます。<br>
<a href="https://www.luft.co.jp/cgi/randam.php" target="_blank" rel="nofollow noopener noreferrer">パスワード生成（パスワード作成）ツール</a> などで複雑なパスワードを設定しましょう。このパスワードは 証明書をインポートするときに使用します。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/0dbd325aec2d-20220531.png" loading="lazy" class="md-img"><br>
実際に ディレクトリを確認して PFX証明書が生成されたか見てみました。「kokitechblogcomwildcard.pfx」 が生成されているので良さそうですね。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/746d68f44d97-20220531.png" loading="lazy" class="md-img"></p>
<h3 id="%EF%BC%884%EF%BC%89-%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%E3%81%AB%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%EF%BC%884%EF%BC%89-%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%E3%81%AB%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E3%81%99%E3%82%8B" aria-hidden="true"></a> （4） ローカルに証明書をダウンロードする</h3>
<div class="code-block-container"><pre><code>docker ps
docker cp &lt;コンテナID&gt;://koki-techblog.com/kokitechblogcomwildcard.pfx ./
</code></pre></div><p>実行後、<br>
<img src="https://storage.googleapis.com/zenn-user-upload/a1b9e2f76448-20220531.png" loading="lazy" class="md-img"></p>
<p>完了。</p>


Let's Encryptでワイルドカード証明書を発行する方法

（2） 初期設定 + certbotをインストールする

（3） ワイルドカード証明書発行する

（4） ローカルに証明書をダウンロードする

さっそく Let's Encrypt証明書 を発行してみた

Discussion