ArchLinux ; WebサーバーSSL化( Let's Encrypt )

1.SSL証明書を取得する ( Let's Encrypt )

最新のopen sslをインストールしておく

1.1 事前準備

1.パッケージ管理システムSnappyインストール
Let’s EncryptのSSL証明書発行ツール「certbot」は2021年以降は「snap」を利用したインストールが推奨されていますので、まずSnapdをインストールします。

メインのスナップ通信ソケットを管理するsystemdユニットを有効化する

クラシックスナップのサポートを有効にする

バージョン確認

ログアウトして再度ログインするか、システムを再起動して、snapのパスが正しく更新されていることを確認

2.certbot パッケージインストール

/snap/bin/certbotへのシンボリックリンクを作成

確認する

1.2 証明書の取得

初回のみメールアドレスの登録と利用条件への同意が必要
受信可能なメールアドレスを指定

1.2 証明書を自動更新 (Let's Encrypt)

①登録前のテスト
まず以下の--dry-runオプションを使って自動更新をテストしてみる。このオプションでは、証明書は更新されずに動作確認のみ実施されるため、証明書の取得回数制限に引っかかる心配もない

②Snap版certbotをインストールすると、証明書自動更新機能も合わせてインストールされます

snap.certbot.renew.timer が登録されています

snap.certbot.renew.timer のユニットファイルを確認

上記設定によるとOnCalenderパラメータで指定されている毎日5時54分と22時38分に更新を試みます(ただし、更新ごとにランダムに設定時刻が変更します)

snap.certbot.renew.serviceのユニットファイルを確認

ただし、証明書を使用するWebサーバーの再起動は行われませんので、更新後に自動的に実行されるスクリプトを設定します

2. Apache のhttps 化

2.1 ssl.conf ファイルの編集

httpd.conf編集

Apache を再起動します。

UFWでhttpsを許可する

2.2 HTTP 通信を HTTPS へリダイレクト

.htaccessを/srv/[FQDN]/　配下に作成
.htaccessの内容