1. Letsencrypt/DV証明書

もらえるのはDV Certificateである。 /意味 /DNS認証 /_acme-challenge

https://crt.sh/?q=qmail.jp で履歴もわかる。便利だ。

../FreeBSD でもinstallまでは行った。まだ、うごかしてはいない。　-- ToshinoriMaeno 2015-11-23 08:09:47

• FreeBSDで入れたのはportsにあったものだ。standaloneモードでだけ動くとあった。

証明書を取得できた。-- ToshinoriMaeno 2015-11-27 23:43:38

証明書を更新してみた。-- ToshinoriMaeno 2016-02-12 22:30:18

期限ぎれ。　SHA-256 F.P. -- ToshinoriMaeno 2017-08-19 14:44:45

  7F:C1:D9:C0:86:B6:D0:1E:DB:FA:F3:1D:7F:EF:CC:3A:2E:27:C1:27:A1:62:3A:BA:80:9C:57:A8:92:E6:9E:2B

1.1. 入れてみた

moin.qmail.jpのオレオレ証明書をLetsencryptのものに置き換えてみました。

• ３か月後の更新までに、継続するかどうかを判断する予定です。
  • サーバとは別のホストで証明書を取り込み、サーバに送り込む作業が必要になります。
  httpsはpoundを使っているので、通常の手順は使えません。

証明書を入れたせいで、アクセスが増えることが一番の心配です。ｗ

-- ToshinoriMaeno 2015-11-22 06:26:26

３か月に一度は更新作業が必要になる。

• 証明書を使うことになるFreeBSDで３か月以内に動かせるようにはなりそうもない。

Ubuntu 14.04 LTS で letsencrypt-auto が実行できるようになったので、

• 別ホストのための証明書を取得することを試みる。

証明書がほしいホストでは、httpサーバを動かしておき、

• letsencrypt コマンド実行時に表示される指示にしたがったファイルを作成することで、

証明書のためのドメインを管理していることを示す。　/段階的実行

/複数ドメイン対応

1.2. 関連directory

• /etc/letsencrypt
• /var/lib/letsencrypt
• /var/log/letstencrypt

/etc/letsencrypt$ ls -l
合計 16
drwx------ 3 tmaeno tmaeno 4096 11月 20 06:33 accounts
drwxr-xr-x 2 tmaeno tmaeno 4096 11月 20 06:47 csr
drwx------ 2 tmaeno tmaeno 4096 11月 20 06:47 keys
drwxr-xr-x 2 tmaeno tmaeno 4096 11月 20 06:47 renewal

letsencrypt$ ls accounts/
acme-v01.api.letsencrypt.org

1.3. Standalone

取得するドメインのサーバーを動かそうとするようだ。中断した。

• そのうち試すつもり。

To obtain a cert using a “standalone” webserver,
you can use the standalone plugin by including certonly and
 --standalone on the command line.

This plugin needs to bind to port 80 or 443 in order to perform domain validation,
so you may need to stop your existing webserver. 

To control which port the plugin uses, include one of the options shown below on the command line.
        --standalone-supported-challenges http-01 to use port 80
        --standalone-supported-challenges tls-sni-01 to use port 443

1.4. Manual

今回はこれをやった。

If you’d like to obtain a cert running letsencrypt on a machine other than your target webserver or
perform the steps for domain validation yourself, you can use the manual plugin. 

While hidden from the UI, you can use the plugin to obtain a cert by specifying certonly and
--manual on the command line.
This requires you to copy and paste commands into another terminal session.

1.5. certonly

$ cd letsencrypt/
$ ./letsencrypt-auto certonly -a manual -d gs.qmail.jp --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview

Updating letsencrypt and virtual environment dependencies.......
Running with virtualenv: sudo /home/tmaeno/.local/share/letsencrypt/bin/letsencrypt certonly -a manual -d gs.qmail.jp --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
[sudo] password for tmaeno: 

1.6. gs.qmail.jp

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
       /etc/letsencrypt/live/gs.qmail.jp/fullchain.pem. 
   Your cert will expire on 2016-02-19.
   To obtain a new version of the certificate in  the future, simply run Let's Encrypt again.

/etc/letsencrypt$ ls -l

合計 24
drwx------ 4 tmaeno tmaeno 4096 11月 20 11:32 accounts
drwx------ 4 tmaeno tmaeno 4096 11月 22 08:57 archive
drwxr-xr-x 2 tmaeno tmaeno 4096 11月 22 08:54 csr
drwx------ 2 tmaeno tmaeno 4096 11月 22 08:54 keys
drwx------ 4 tmaeno tmaeno 4096 11月 22 08:57 live
drwxr-xr-x 2 tmaeno tmaeno 4096 11月 22 08:57 renewal

/etc/letsencrypt/live$ ls -l

合計 8
drwxr-xr-x 2 root   root   4096 11月 22 08:57 gs.qmail.jp
drwxrwxr-x 2 tmaeno tmaeno 4096 11月 20 21:17 moin.qmail.jp

tmaeno@tmaeno:/etc/letsencrypt/live$ ls -l gs.qmail.jp/

合計 0
lrwxrwxrwx 1 root root 35 11月 22 08:57 cert.pem -> ../../archive/gs.qmail.jp/cert1.pem
lrwxrwxrwx 1 root root 36 11月 22 08:57 chain.pem -> ../../archive/gs.qmail.jp/chain1.pem
lrwxrwxrwx 1 root root 40 11月 22 08:57 fullchain.pem -> ../../archive/gs.qmail.jp/fullchain1.pem
lrwxrwxrwx 1 root root 38 11月 22 08:57 privkey.pem -> ../../archive/gs.qmail.jp/privkey1.pem