無料SSL(TLS)のLet’s encryptワイルドカードをインストールしたメモ

Pocket
LINEで送る
GREE にシェア
LinkedIn にシェア

無料SSLで話題のLet’s enctyptが、2018年3月からワイルドカード対応したとのことで、以前から気になっていたのだが、この度仕事の必要に応じてセットしてみることにした。
 

もともと無料SSLとしては利用していたのだが、ワイルドカードを使うことで、複数のサブドメインを1サーバーでセキュアにできるので、コストカットに最適な構成が作れそうです。
 

これまでの無料SSLとどのように設定方法が違うのかがポイントになると思うのでその点と、完了するまでに色々と戸惑った点があったので、そうした事を備忘録として書いておきます。

環境

まず、今回の環境は一般的ではなく、DNS管理をバリュードメインで行うという事で、下記のような構成になっています。
 

route53を使った全てAWS構成にしていれば、比較的プレイヤーも多いので情報もWEBで探せたんですが、同じ環境の人がもしいたら、幸いです。
 

ドメイン管理&DNS管理 : バリュードメイン
サーバー : AWS(ec2)
CGIモジュール : Nginx

 

certbotアプリは今までと同じもの

Let’s Encryptの非公式ページは事前に参照しておきましょう。
 

公式ページ
https://letsencrypt.org/
 

非公式ページ
https://free-ssl.jp/
 

2019年3月現在では、certbot-autoモジュールをダウンロードして使うのが良さそうなので、以下のようにインストール
 

 

次にcertbot-autoの実行だが、ここでワイルドカードは今までと違うオプション構成になる。
これまでは、certbot-autoをそのまま起動して支持に従うだけでよかったのだが、以下のようにセットするといいらしい。
 

 

細かい解説は他のページを見てもらったほうがいいので割愛するが、ドメインとメールアドレスは自分のモノを使ってくだされ。
 

そして、ワイルドカードは、ドメイン指定が2つあることに気がつくと思うが、この時に別のドメインでも指定可能らしい。
 

好きなだけ登録できてしまうようだが、上限は300個だったかな?どっかの規約に書かれていたはず。
 

そして、上記コマンドを実行すると、ドメイン指定した数だけ、「DNSのtxtをセットせよ」との命令が下る。
 

 

とにかくめんどくさいのがこの点で、この次に”press enter”と表示されても、DNS設定を行って、値が反映されなければ、次に進んではいけないというトラップに要注意だ。
 

次に、バリュードメインのDNS設定で上記指定のサブドメインのtxtレコードに、指定の文字列をセットする。
 

 

気長に待たなければいけないのが辛いのだが、値が反映されたか確認するコマンドは以下を参考にしてくだされ。
 

とりあえず3パターンぐらい書いておきます。
 

 

お好きなコマンドで確認できたら、いよいよenterを押して以下の表示が出たら完了です。
 

 

そして忘れてはいけないのが、nginxの設定をやらないと、証明書だけセットしても、SSL対応はできません。
 

rootドメインのセットだけをサンプルに載せておきます。
 

SSL関連を追記して、取得して作成された証明書を記述してあげるといいようです。
 

これで、nginxを再起動したら、無事にhttpsで表示できるはずです。
 

対応事後の個人的見解

ワイルドカードを使って、1サーバーで複数サイトを管理するよりも、1サーバー1サイトで無料SSLを利用するほうが、管理する上で定期更新のバッチが使えるので、この点をケチらずにした方が良いことが今回分かりました・・・orz
 

1サーバーで複数設定をとるか、運用の手軽さのどちらを取るかで、今後の動き方が変わるかもしれませんが、とりあえず、3ヶ月後にはキレイに忘れているかと思うので、この記事を参考にする自分を予測しておくとしましょう。

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です