差分

このページの2つのバージョン間の差分を表示します。

--- サーバ証明書の発行と自動更新 [2023/07/28 14:38] – suikou
+++ サーバ証明書の発行と自動更新 [Unknown date] (現在) – 削除 - 外部編集 (Unknown date) 127.0.0.1
@@ 行 1: / 行 1: @@
-# Let's EncryptでSSL/TLSサーバ証明書を発行(Rocky Linux 9版)
-```
-dnf install snapd
-systemctl start snapd
-systemctl enable snapd
-ln -s /var/lib/snapd/snap /snap
-snap install --classic certbot
-/var/lib/snapd/snap/bin/certbot certonly --webroot -w /var/www/html/ -d suikou.fs.a.u-tokyo.ac.jp --renew-by-default --email akyoshita@g.ecc.u-tokyo.ac.jp
-```
-/etc/httpd/conf.d/ssl.confを編集
-```
-SSLCertificateFile /etc/letsencrypt/live/suikou.fs.a.u-tokyo.ac.jp/cert.pem
-SSLCertificateKeyFile /etc/letsencrypt/live/suikou.fs.a.u-tokyo.ac.jp/privkey.pem
-SSLCertificateChainFile /etc/letsencrypt/live/suikou.fs.a.u-tokyo.ac.jp/chain.pem
-```
-/etc/crontabに下記を設定
-```
-  1  1  *  * root       /var/lib/snapd/snap/bin/certbot renew --post-hook "systemctl restart httpd.service"
-```
-# UPKI SSL証明書(失敗)
-```
-ssh suikouhttp
-openssl genrsa -des3 -out ssl/ssl.upki.2023.key 2048
-#pass phrase: suikou
-openssl req -new -key ssl/ssl.upki.2023.key -out ssl/ssl.upki.2023.csr
------
-Country Name (2 letter code) [XX]:JP
-State or Province Name (full name) []:Tokyo
-Locality Name (eg, city) [Default City]:Bunkyo-ku
-Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo
-Organizational Unit Name (eg, section) []:
-Common Name (eg, your name or your server's hostname) []:suikou.fs.a.u-tokyo.ac.jp
-Email Address []: #空のままエンター
-Please enter the following 'extra' attributes
-to be sent with your certificate request
-A challenge password []: #空のままエンター
-An optional company name []: #空のままエンター
-```
-https://app.pki.itc.u-tokyo.ac.jp/
-{{:pasted:20230728-075641.png}}
-しかし、、、`domainにエラーがあります（TLRAの対象ドメイン: nc.u-tokyo.ac.jpとDNのドメイン: CN=suikou.fs.a.u-tokyo.ac.jp,O=The University of Tokyo,L=Bunkyo-ku,ST=Tokyo,C=JPが不一致です）`でエラー。恐らく農学生命科学研究科が対象ではない。
-===== Let's EncryptでSSL/TLSサーバ証明書を発行 =====
-総合ポータル(日本語版)：[[https://free-ssl.jp/]]
-==== OSの確認 ====
-次のコマンドを入力''cat /etc/redhat-release'' \\
-出力：''CentOS Linux release 7.9.2009 (Core)'' となりOSの確認が出来た \\
-==== CentOS7用のcertbotをインストール ====
-HTTPS対応するために、無料でSSL証明書を取得できるLet's enryptを利用するためのcertbotをインストールした \\
-インストール、証明書発行は次を参照 [[https://centos.perlzemi.com/blog/20200117182708.html]]
-  - epel リポジトリをインストール ''sudo yum -y install epel-release''
-  - certbot と python-certbot-apache をインストール ''sudo yum -y install certbot python-certbot-apache''
-==== SSL証明書の発行 ====
-  - certbotを使って、SSL証明書を取得。Apache用のHTTPS接続のための設定も自動で追加してくれる ''sudo certbot run --apache -d　meta.fs.a.u-tokyo.ac.jp''
-  - 最初にメールアドレスを聞かれる。メールアドレス(suikoucalender@gmail.com)を入力して、Enter
-  - 同意「Y」を入力して進む
-  - 発行完了後SSL証明書は以下のディレクトリの中に格納される '' /etc/letsencrypt/live/meta.fs.a.u-tokyo.ac.jp ''
-  - HTTPSプロトコルで暗号化通信ができるようになる
-==== SSL証明書の更新設定 ====
-自動化は次を参照 [[https://qiita.com/ariaki/items/5680cb6da6223844af4e]] \\
-Let's Encryptが発行する証明書の有効期限は90日間と短い為、自動で更新されるように設定
-''/home/yoshitake/cronscript/letsencrypt-renew.sh''を作成
-  #!/bin/sh
-  certbot renew -q --no-self-upgrade --post-hook "systemctl restart httpd.service"
-上記のスクリプトに実行権限を付与
-  chmod 0700 /etc/letsencrypt/letsencrypt-renew.sh
-crontabを設定
-  crontab -e
-以下を追加
-3 * * 6 /home/yoshitake/cronscript/letsencrypt-renew.sh