CentOS Stream10 : SSL証明書取得( Let's Encrypt ) , WEB・Mail サーバーSSL/TLS

1.SSL証明書を取得する ( Let's Encrypt )

1.1 事前準備

1.最新のopen sslをインストールしておく

2.パッケージ管理システムSnappyインストール
Let’s EncryptのSSL証明書発行ツール「certbot」は2021年以降は「snap」を利用したインストールが推奨されていますので、まずSnapdをインストールします。(dnfまたはyumでの従来の方法でもインストールできます)
Snapd からインストールした Certbot パッケージであれば、Systemd の Timer が付属しているため、更新作業は自動で実行されます。

メインのスナップ通信ソケットを管理するsystemdユニットを有効化する

クラシックスナップのサポートを有効にする

snapd のバージョンを最新にする

上記でエラーになる場合は、代わりに以下のコマンドを実行する(hello-world というパッケージがインストールされるのに伴い、core パッケージもインストールされます)

core パッケージを更新

バージョン確認

ログアウトして再度ログインするか、システムを再起動して、snapのパスが正しく更新されていることを確認

3.certbot パッケージインストール

/snap/bin/certbotへのシンボリックリンクを作成

確認する

1.2 証明書の取得

初回のみメールアドレスの登録と利用条件への同意が必要
受信可能なメールアドレスを指定

「Successfully received certificate.」と表示されれば成功
メッセージ中に記載の通り [/etc/letsencrypt/live//] 配下に次の証明書が取得されている
　cert.pem : SSLサーバー証明書(公開鍵含む)
　chain.pem : 中間証明書
　fullchain.pem : cert.pem と chain.pem が結合されたファイル
　privkey.pem : 公開鍵に対する秘密鍵

1.3 証明書を自動更新

①登録前のテスト
まず以下の--dry-runオプションを使って自動更新をテストしてみる。このオプションでは、証明書は更新されずに動作確認のみ実施されるため、証明書の取得回数制限に引っかかる心配もない

➁cronを使用して自動でSSL証明書を更新(毎月1日の午前0時に実行)

2. Apache のhttps 化

下記をインストールしておく

2.1 ssl.conf ファイルの編集

Apache を再起動

Firewallでhttpsを許可する

2.2 HTTP 通信を HTTPS へリダイレクト

/etc/httpd/conf.d/vhost.confに下記を追記する

3. Mail サーバーにSSL/TLS(Let's Encrypt) の設定

3.1 メールサーバー用証明書の取得

メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。

一度web サーバーを止めてから行うと下記のとおり成功する

3.2 Postfixの設定

3.3 Dovecotの設定

firewallでPort 587を許可する

3.4 Thunderbirdの設定

受信サーバー
Port  :  143
Connection security   :  STARTTLS
Authentication method  :  Normal password

送信サーバー
Port   :  587
Connection security   :  STARTTLS
Authentication method  :  Normal password