1. ホーム
  2. プログラミング
  3. Let’s EncryptでSSL証明書を無料で取得しよう!

Let’s EncryptでSSL証明書を無料で取得しよう!

目次

  1. はじめに
  2. 事前準備
  3. 証明書の取得(Standaloneプラグイン)
  4. 証明書の取得(Webrootプラグイン)
  5. まとめ

はじめに

Let’s Encryptは、Internet Security Research Group (ISRG) により運営されているSSL証明書の認証局(CA)です。
従来、WebサーバーにHTTPS通信を設定するには、SSL証明書をフォームなどから申し込んで購入し、届いた証明書ファイルをWebサーバーにアップロードして設定する必要がありました。
Let’s Encryptの証明書はcertbotというコマンドを通して無料で取得でき、cronなどに更新コマンドを登録しておくことによって更新まで自動化することが可能です。

Let’s Encryptのメリット

  • 無料で取得できる
  • 手続きが要らない
  • 更新の自動化が可能

事前準備

certbotコマンドを使った証明書の取得は、コマンドを実行するマシンに対して取得したいドメイン名でHTTPでアクセスできることが前提です。つまり、ドメインとIPアドレスが一致していて80番ポートにアクセスできる必要があります。

CentOS7系の場合以下のコマンドでcertbotコマンドをインストール可能です。(環境によってはcertbot-autoという名前の場合もあります)

$ sudo yum -y install certbot

その他のお使いのOSの対応状況およびインストール方法は、下記を参考にしてください。
Certbot クライアントのインストール – Let’s Encrypt 総合ポータル

ちょっと一言

Amazon Linuxも「その他の UNIX 系 OS」の方法で動作しますが、公式にサポートはされていません。

証明書の取得(Standaloneプラグイン)

certbotコマンドを使って証明書を取得するにはいくつかの方法があるのですが、Standaloneプラグインを使う方法が一番簡単です。
Standaloneプラグインで証明書を取得するには、以下のコマンドを実行します。

$ certbot certonly --standalone -d <ドメイン名>

letsencrypt_key.png (36.8 kB)

初回の取得時にはメールアドレスの入力や、利用規約への同意を求められます。
Congratulations! というメッセージが出れば成功です。
証明書の期限が迫ると、ここで入力したメールアドレス宛てに通知が飛びます

証明書の取得(Webrootプラグイン)

Standaloneプラグインを使った方法では、Webサーバーと同じ80番ポートを使うため、ApacheやnginxなどのWebサーバーが動いている場合に一度止める必要が出てしまいます。
稼働中のWebサーバーを停止させずに証明書を取得したい場合、Webrootプラグインを利用します。

$ certbot certonly --webroot -w <ドキュメントルートのパス> -d <ドメイン名>

letsencrypt_key.png (34.7 kB)

WebrootプラグインではStandaloneプラグインと違って、ドキュメントルート(指定のドメインのサイトが格納されているディレクトリ)のパスを指定する必要があります。
Webrootプラグインドキュメントルートの下に.well-knownという隠しディレクトリを作り、稼働中のWebサーバーを通してそのディレクトリにアクセスできることを確認することで、ドメインの認証する仕組みです。

POINT!!

IPアドレスやBasic認証によるアクセス制限を行っている場合、.well-knownディレクトリを除外しないと証明書が取得できない場合があります。

まとめ

今回はcertbotコマンドを使ったSSL証明書の取得方法を紹介しました。慣れてくるとここまでの作業は数分で完了します。
今までSSL証明書を取得するのは有料であったり申請して数日待つ必要があったりと難しいところがあったのですが、Let’s Encryptの登場によってテストサイト等にも気軽にHTTPSの設定ができるようになりました。

他にも紹介していない機能もありますので、実際にLet’s Encryptの証明書を利用されるのであれば以下のサイトにも目を通すようにしましょう。

Let’s Encrypt公式サイト(英語)
Let’s Encrypt総合ポータル(日本語)
certbot公式サイト

Author Profile

しんのき
新しい技術が好きなWebエンジニアです。

元々インフラやPHPをやっていたのですが、最近はReact NativeとFirebaseを使って頑張ってます。

この記事は
参考になりましたか?

PAGE TOP