環境 CentOS Stream release 9 Apache/2.4.57 (CentOS Stream) Xserver VPS
EPELインストール
dnf install epel-release
Snapインストール
dnf --enablerepo=epel install snapd
snapd 起動と自動起動設定
systemctl enable --now snapd.socket
シンボリックリンク作成
ln -s /var/lib/snapd/snap /snap
core パッケージをインストール
snap install core
certbotインストール
snap install --classic certbot
シンボリックリンクを作成
ln -s /snap/bin/certbot /usr/bin/certbot
certbotコマンドでLet’s Encrypt証明書を取得してhttpsでサイトにアクセスできるようにする解説。
複数のサイトを考えているならワイルドカード証明書の取得を推奨。
サイトが複数あり独自ドメイン、サブドメインまとめてワイルドカードで取得し一つの証明書で一元管理する方法もある。
証明書の取得段階でDNSの登録を行う必要がある。DNSのTXTを設定できる環境ならワイルドカードで証明書を取得するのが手っ取り早い。
対象サイトはmysite.comで/etc/httpd/conf.d/mysite.com.confのようにmysite.com用の独自confファイルが既に設置してあり下記の内容になっているのが前提。
<VirtualHost *:80> ServerName mysite.com DocumentRoot /var/www/html/mysite # for Let's Encrypt Alias /.well-known /var/www/html/mysite/.well-known <Directory /var/www/html/mysite AllowOverride All Require all granted </Directory> </VirtualHost>
certbotコマンドで証明書を取得する
certbot certonly --webroot -w /var/www/html/mysite.com -d mysite.com -m info@mysite.com --agree-tos
Saving debug log to /var/log/letsencrypt/letsencrypt.log Requesting a certificate for mysite.com Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/mysite.com/fullchain.pem Key is saved at: /etc/letsencrypt/live/mysite.com/privkey.pem This certificate expires on 2025-01-21. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le
上記のように表示されればOK。
あとはfullchain.pemとprivkey.pemのパスをssl.confで指定する。
vi /etc/httpd/conf.d/ssl.conf
↓記述内容
<VirtualHost *:443> ServerName mysite.com DocumentRoot "/var/www/html/mysite" SSLEngine on SSLProtocol All -SSLv2 -SSLv3 -TLSv1 SSLCertificateFile /etc/letsencrypt/live/mysite.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/mysite.com/privkey.pem <Directory "/var/www/html/mysite"> AllowOverride All Require all granted </Directory> ErrorLog logs/mysite-ssl_error_log CustomLog logs/mysite-ssl_access_log combined </VirtualHost>
あとはブラウザでhttps://mysite.comにアクセスできれば完了。
Apache2.4.7未満は下記のように記述するとの説もあるがApache2.4.57であっても上記のように二項目の記述だけで現状問題なくhttpsアクセスできている。
SSLCertificateFile /etc/letsencrypt/live/mysite.com/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mysite.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mysite.com/chain.pem
証明書の更新コマンド(毎月1日の1時に更新してその旨をメール受信する ※実際のところ更新期限30日を切らない限り更新処理は行われない)
0 1 1 * * certbot renew 2>&1 | mail -s "Let's Encrypt update information" info@mysite.com && systemctl restart httpd
更新処理は有効期限30日を切らない限り実行されないが、とりあえず月一のインターバルで実行するようにした。
サイトごとの独自confファイルのVirtualHost *:80側で下記のようにhttpでアクセスしてきても強制的にhttpsにリダイレクトしてしまうの方法もあるが
RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
証明書の更新処理が巧くいかなかったので現在、httpsへの強制リダイレクトは行っていない。