ATSでも使える!Let's encryptで無料ではじめるSSL
0 likes624 views
2016年12月19日開催 「なぜ常時SSLなのか?いまからでも間に合うATS対策!」の資料となります。 https://idcf-seminar.connpass.com/event/46761/
ATSでも使える!Let's encryptで無料ではじめるSSL
- 1. IDC Frontier Inc. All rights reserved. ATSでも使える!Let's Encrypt で無料ではじめるSSL なぜ常時SSLなのか?いまからでも間に合うATS対策! 株式会社IDCフロンティア エバンジェリストグループ 神谷 拳四郎 2016/12/19
- 2. 2 IDC Frontier Inc. All rights reserved. 自己紹介 ・静岡県三島市出身 ・2016年4月入社(社会人1年目!) ・提案活動、セミナー対応 趣味:仮面ライダー バレーボール ロードバイク 週末は大体多摩川でサイクリング カミヤ ケンシロウ 神谷 拳四郎
- 3. 3 IDC Frontier Inc. All rights reserved. アジェンダ ・Let’s Encryptについて ・Let’s Encryptの導入手順 ・導入時の注意点
- 4. 4 IDC Frontier Inc. All rights reserved. Let’s Encryptについて
- 5. 5 IDC Frontier Inc. All rights reserved. 一般的な証明書 ドメイン数が増えればコストと手間も増大していく コスト 手間 ・発行/更新費用 ・安くても年間1000円〜 ・Webサーバーへの設定 ・証明書の発行/更新作業 ・CSR(証明書署名要求)の作成
- 6. 6 IDC Frontier Inc. All rights reserved. Let’s Encryptなら 無料 コストがかからず、お手軽に ATSの要件を満たした証明書が使える 証明書の取得・設定・更新 全て自動 コスト 手間
- 7. 7 IDC Frontier Inc. All rights reserved. Let’s Encryptの導入手順
- 8. 8 IDC Frontier Inc. All rights reserved. デモ環境 ・IDCFクラウド(仮想マシン・ILB) ・CentOS 6.8 64bit ・Apache 2.2.15 https://letsencrypt.jp/usage/ Internet ILB … その他のOSなど、対応状況は公式をご覧ください WebWeb
- 9. 9 IDC Frontier Inc. All rights reserved. 導入の流れ 1.環境設定 2.インストール 3.証明書取得/設定 ・Certbotクライアントの実行 ・証明書の取得 ・EPELリポジトリの有効 ・Certbotクライアントのインストール ・ファイアウォールの設定 ・DNSの設定
- 10. 10 IDC Frontier Inc. All rights reserved. 環境設定 ファイアウォールの設定 Let‘s Encrypt のサーバーから、WebサーバーのTCP Port 80 と TCP Port 443 に 接続することで、ドメイン所有者であることの認証が行われる 対象の仮想ルーターの ファイアウォールに必ず設定 コメント ソースCIDR タイプ ポートレンジ HTTP Anyを選択 (0.0.0.0/0) HTTPを選択 80 HTTPS Anyを選択 (0.0.0.0/0) HTTPSを選択 443
- 11. 11 IDC Frontier Inc. All rights reserved. 環境設定 DNSの設定 対象のマシンにドメイン名でアクセスできないと、証明書の作成に失敗する あらかじめドメイン名のAレコードを設定する
- 12. 12 IDC Frontier Inc. All rights reserved. EPELリポジトリの有効 #yum –y install epel-release Certbotクライアントのインストール #wget https://dl.eff.org/certbot-auto #chmod a+x certbot-auto #./certbot-auto インストール
- 13. 13 IDC Frontier Inc. All rights reserved. Certbotクライアントの実行 秘密鍵・公開鍵・署名リクエスト(CSR)の作成はCertbotクライアントで行う #./certbot-auto TUIが表示され、対話的に設定が可能に 証明書取得/設定
- 14. 14 IDC Frontier Inc. All rights reserved. 証明書取得/設定 対象のドメイン名の設定 SSL/TLS サーバ証明書の取得を希望するドメイン名を指定 ・ドメイン名の入力 ・<了解>で次のステップへ
- 15. 15 IDC Frontier Inc. All rights reserved. 証明書取得/設定 ・メールアドレスの入力 ・<了解>で次のステップへ メールアドレスの設定 鍵を紛失したときの復旧、証明書の有効期限が近付いた場合などの通知に使用
- 16. 16 IDC Frontier Inc. All rights reserved. 証明書取得/設定 ・確認して問題なければ、 <Agree>で次のステップへ 利用規約の同意
- 17. 17 IDC Frontier Inc. All rights reserved. 証明書取得/設定 ・<Select>で次のステップへ Apacheの設定ファイルの確認 Certbotが自動で設定する
- 18. 18 IDC Frontier Inc. All rights reserved. 証明書取得/設定 Easy :HTTPとHTTPSどちらも許可 Secure :HTTPSのみ許可 ここではEasyを選択し<OK> 通信プロトコルの設定
- 19. 19 IDC Frontier Inc. All rights reserved. 証明書取得/設定 ・<了解>で次のステップへ 証明書取得完了
- 20. 20 IDC Frontier Inc. All rights reserved. 証明書取得/設定 証明書の取得完了 CLIに切り替わり、証明書情報が表示される IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/ats.kenshiroh.sa.egg.jp/fullchain.pem. Your cert will expire on 2017-03-15. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: 証明書のパス 証明書の期限
- 21. 21 IDC Frontier Inc. All rights reserved. 証明書取得/設定 ILBへの証明書登録 /etc/letsencrypt/archive/ドメイン名 /privkey.pem /etc/letsencrypt/archive/ドメイン名 /cert.pem /etc/letsencrypt/archive/ドメイン名 /chain.pem 各ディレクトリにある証明書を登録
- 22. 22 IDC Frontier Inc. All rights reserved. コンテンツキャッシュでも 同様の手順で登録できます 証明書取得/設定
- 23. 23 IDC Frontier Inc. All rights reserved. 導入時の注意
- 24. 24 IDC Frontier Inc. All rights reserved. 導入時の注意点 ・デフォルトではECDHE-RSAで証明書が作成される -ECDHE-ECDSA証明書の作成はCSRを作成する必要あり ・ILBの証明書の更新は手動で行う必要がある -Let’s Encryptの証明書の期限は90日と短めなので注意
- 25. 25 IDC Frontier Inc. All rights reserved.