share facebook facebook2 twitter menu hatena pocket slack

2016.02.02 TUE

Let's Encryptから証明書を取得してAWS ELBに組み込む

佐藤 裕行

WRITTEN BY佐藤 裕行

Let’s EncryptがPublicBetaになりましたので、さっそく組み込み。
https://letsencrypt.org/2015/12/03/entering-public-beta.html

まずは個人環境で実装してます。
商用に組み込むのはお勧めしません。

Let’s Encrypt

無償で信頼された証明書を取得し使用できるサービス
https://letsencrypt.org/about/

AmazonLinuxで証明書を取得

例えばwww.hogehoge.com の証明書を取得する場合
サーバ上で認証する必要があるため、
証明書取得用のサーバを用意する方法が環境を汚さないので良いと思います。

www.hogehoge.com のDNSのを作成したインスタンスのEIPに向けます。
インスタンスのセキュリティグループは80/443をフル解放しておきます。

パッケージ

sudo yum install git libffi-devel puppet libffi-devel puppet httpd24

証明書取得

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --server https://acme-v01.api.letsencrypt.org/directory auth
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem. Your
   cert will expire on 2016-03-06. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

中間証明書

AWSのELBに組み込む際に、中間証明書が上手く認証できなかった。
記載する順番も変えたか駄目だったので、直接キーを探して組み込んだら上手く行きました。

https://letsencrypt.org/certificates/
https://www.identrust.com/certificates/trustid/root-download-x3.html

自己証明書使うぐらいなら、これでよいかと思いました。

元記事はこちら

Let’s Encryptから証明書を取得してAWS ELBに組み込む

佐藤 裕行

佐藤 裕行

元NIerの通称砂糖です。AWSのネットワークまわりには詳しいです。現在は構築チームに所属し、多忙な日々を過ごしています。