サーバ証明書の発行と自動更新

**文書の過去の版を表示しています。**

UPKI SSL証明書

ssh suikouhttp
openssl genrsa -des3 -out ssl/ssl.upki.2023.key 2048
#pass phrase: suikou

openssl req -new -key ssl/ssl.upki.2023.key -out ssl/ssl.upki.2023.csr
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Bunkyo-ku
Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:suikou.fs.a.u-tokyo.ac.jp
Email Address []: #空のままエンター

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: #空のままエンター
An optional company name []: #空のままエンター

https://app.pki.itc.u-tokyo.ac.jp/

しかし、、、domainにエラーがあります(TLRAの対象ドメイン: nc.u-tokyo.ac.jpとDNのドメイン: CN=suikou.fs.a.u-tokyo.ac.jp,O=The University of Tokyo,L=Bunkyo-ku,ST=Tokyo,C=JPが不一致です)でエラー。恐らく農学生命科学研究科が対象ではない。

Let's EncryptでSSL/TLSサーバ証明書を発行

総合ポータル(日本語版):https://free-ssl.jp/

OSの確認

次のコマンドを入力cat /etc/redhat-release
出力:CentOS Linux release 7.9.2009 (Core) となりOSの確認が出来た

CentOS7用のcertbotをインストール

HTTPS対応するために、無料でSSL証明書を取得できるLet's enryptを利用するためのcertbotをインストールした
インストール、証明書発行は次を参照 https://centos.perlzemi.com/blog/20200117182708.html

  1. epel リポジトリをインストール sudo yum -y install epel-release
  2. certbot と python-certbot-apache をインストール sudo yum -y install certbot python-certbot-apache

SSL証明書の発行

  1. certbotを使って、SSL証明書を取得。Apache用のHTTPS接続のための設定も自動で追加してくれる sudo certbot run –apache -d meta.fs.a.u-tokyo.ac.jp
  2. 最初にメールアドレスを聞かれる。メールアドレス(suikoucalender@gmail.com)を入力して、Enter
  3. 同意「Y」を入力して進む
  4. 発行完了後SSL証明書は以下のディレクトリの中に格納される /etc/letsencrypt/live/meta.fs.a.u-tokyo.ac.jp
  5. HTTPSプロトコルで暗号化通信ができるようになる

SSL証明書の更新設定

自動化は次を参照 https://qiita.com/ariaki/items/5680cb6da6223844af4e
Let's Encryptが発行する証明書の有効期限は90日間と短い為、自動で更新されるように設定 /home/yoshitake/cronscript/letsencrypt-renew.shを作成 

#!/bin/sh
certbot renew -q --no-self-upgrade --post-hook "systemctl restart httpd.service"

上記のスクリプトに実行権限を付与 

chmod 0700 /etc/letsencrypt/letsencrypt-renew.sh

crontabを設定 

crontab -e

以下を追加 

0 3 * * 6 /home/yoshitake/cronscript/letsencrypt-renew.sh
  • サーバ証明書の発行と自動更新.1690531330.txt.gz
  • 最終更新: 2023/07/28 08:02
  • by 133.11.222.90