GoogleがやたらとSSL対応を勧めてくるんですよ。
やっぱり今後はSSL対応が必須になる時代が来そうです。
でもSSLって高いイメージがあるし、証明書の更新も面倒。
今の時代無料でできねーかなと調べてみたらなんかできそうな雰囲気。
また時間がある時にトライしてみます。
Let's Encrypt で無料でSSLが導入できるようです。
証明書の発行・インストール・更新のプロセスを自動化できるようです。
参考
# wget https://dl.eff.org/certbot-auto # chmod 700 certbot-auto
ヘルプは以下で確認できます。
# certbot-auto --help
以下を実行すると、自動的にyumが実行され、必要なパッケージがインストールされます。
# ./certbot-auto
CentOS6.2ではyumにて python-pip-1.3.1-4.el6.noarch がダウンロードできずにエラーになってしまいました。
epelリポジトリを入れるとハマるみたいです。
設定を書き換えます。
# vi /etc/yum.repos.d/epel.repo
#baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=$basearch
↓
baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch #mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=$basearch
# ./certbot-auto certonly
How would you like to authenticate with the ACME CA? ------------------------------------------------------------------------------- 1: Place files in webroot directory (webroot) 2: Spin up a temporary webserver (standalone) ------------------------------------------------------------------------------- Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
2を入力
Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel):
メールアドレスを入力
------------------------------------------------------------------------------- Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree in order to register with the ACME server at https://acme-v01.api.letsencrypt.org/directory ------------------------------------------------------------------------------- (A)gree/(C)ancel:
Aを入力
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel):
証明書を導入したいドメインをカンマもしくはスペース区切りで入力
成功すれば /etc/letsencrypt/archive/ドメイン/ 以下に4ファイル生成されます。
数字は更新するたびにインクリメントされるようです。
シンボリックリンクが以下に作成されるので、WEBサーバへの設定は以下を指定します。
Apache 2.4.8未満では公開鍵、中間証明書、秘密鍵を使用します。
それ以上やNginxではサーバ証明書と中間証明書が結合されたファイルと秘密鍵を使用します。