Apache に無料の SSL 証明書をインストールする

  1. 前提条件

    まず最初に Apache と SSL のモジュールがインストールされている必要があります。
    (パッケージ名「httpd」「mod_ssl」)

    インストールされていない場合はパッケージ「httpd」「mod_ssl」をインストールします。

    $ sudo dnf install httpd mod_ssl

    次に Apache が問題なくを起動することを確認します。

    $ sudo systemctl start httpd
    $ sudo systemctl status httpd
    httpd.service – The Apache HTTP Server

        Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
        Drop-In: /usr/lib/systemd/system/httpd.service.d
                        └─php-fpm.conf
            Active: active (running) since Wed 2021-12-22 12:41:24 JST; 10h ago
              Docs: man:httpd.service(8)
      Main PID: 204921 (httpd)
           Status: “Total requests: 1957; Idle/Busy workers 100/0;Requests/sec: 0.0538; Bytes served/sec: 1.7KB/sec”
            Tasks: 231 (limit: 115875)
       Memory: 42.4M
                CPU: 41.508s
        CGroup: /system.slice/httpd.service
                         ├─204921 /usr/sbin/httpd -DFOREGROUND
                         ├─229110 /usr/sbin/httpd -DFOREGROUND
                         ├─229111 /usr/sbin/httpd -DFOREGROUND
                         ├─229112 /usr/sbin/httpd -DFOREGROUND
                         ├─229113 /usr/sbin/httpd -DFOREGROUND
                         ├─229114 /usr/sbin/httpd -DFOREGROUND
                         └─229499 /usr/sbin/httpd -DFOREGROUND


  2. 「certbot」とプラグインの「python3-certbot-apache」をインストールします。

    $ sudo dnf install certbot python3-certbot-apache

    ※ CertBot は Let’s Encrypt のクライアントソフトであり、これを通して SSL の無料証明書を入手できます。
    ※ python3-certbot-apache は CertBot の Apache 用のプラグインです。nginx 用は python3-certbot-nginx になります。

  3. apache の SSL 設定ファイル「/etc/httpd/conf.d/ssl.conf」を編集します。

    「/etc/letsencrypt/options-ssl-apache.conf」を作成。(失敗しても問題なく作成されます)
    ※ 「-」は2つ
    $ sudo certbot –apache

    気にせず次へ。

    $ sudo vi /etc/httpd/conf.d/ssl.conf
    ※ 仮にサーバーURLを「www.magic-object.mydns.jp」としておきます。
    1. ポート番号80番のパーチャルホストを追加しておきます。

      <VirtualHost *:80>
      ServerName www.magic-object.mydns.jp
      SSLEngine off
      </VirtualHost>

      ※ CertBot ではポート番号80番がパーチャルホストとして指定されている必要があります。
    2. ポート番号443番に CeatBot 用の設定を読み込ませます。

      <VirtualHost *:443>

      Include /etc/letsencrypt/options-ssl-apache.conf
      ServerName www.magic-object.mydns.jp:443

      〜以下略〜

      </VirtualHost>

      ※ 「/etc/letsencrypt/options-ssl-apache.conf」 は「python3-certbot-apache」パッケージをインストールした段階で存在します。
    3. Apache を再起動します。

      $ sudo systemctl restart httpd

    1. ポート番号80番のパーチャルホストを追加しておきます。

      <VirtualHost *:80>
      ServerName www.magic-object.mydns.jp
      SSLEngine off
      </VirtualHost>

      ※ CertBot ではポート番号80番がパーチャルホストとして指定されている必要があります。
    2. ポート番号443番に CeatBot 用の設定を読み込ませます。

      <VirtualHost *:443>

      Include /etc/letsencrypt/options-ssl-apache.conf
      ServerName www.magic-object.mydns.jp:443

      〜以下略〜

      </VirtualHost>

      ※ 「/etc/letsencrypt/options-ssl-apache.conf」 は「python3-certbot-apache」パッケージをインストールした段階で存在します。
    3. Apache を再起動します。

      $ sudo systemctl restart httpd

    1. ポート番号80番のパーチャルホストを追加しておきます。

      <VirtualHost *:80>
      ServerName www.magic-object.mydns.jp
      SSLEngine off
      </VirtualHost>

      ※ CertBot ではポート番号80番がパーチャルホストとして指定されている必要があります。
    2. ポート番号443番に CeatBot 用の設定を読み込ませます。

      <VirtualHost *:443>

      Include /etc/letsencrypt/options-ssl-apache.conf
      ServerName www.magic-object.mydns.jp:443

      〜以下略〜

      </VirtualHost>

      ※ 「/etc/letsencrypt/options-ssl-apache.conf」 は「python3-certbot-apache」パッケージをインストールした段階で存在します。
    3. Apache を再起動します。

      $ sudo systemctl restart httpd

  4.  CertBot を実行します。

    証明書を作成するとき、必ず外部(インターネット)からアクセスできる状態でなければいけません。

    sudo certbot --apache」を実行します。
    ※ 「-」は2つ

    $ sudo certbot –apache


    Saving debug log to /var/log/letsencrypt/letsencrypt.logWhich names would you like to activate HTTPS for?
    – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
    1: www.magic-object.mydns.jp
    – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
    Select the appropriate numbers separated by commas and/or spaces, or leave input
    blank to select all options shown (Enter ‘c’ to cancel): 1
    Requesting a certificate for www.magic-object.mydns.jp


    Successfully received certificate.
    Certificate is saved at: /etc/letsencrypt/live/www.magic-object.mydns.jp/fullchain.pem
    Key is saved at: /etc/letsencrypt/live/www.magic-object.mydns.jp/privkey.pem
    This certificate expires on 2022-04-13.
    These files will be updated when the certificate renews.
    Certbot has set up a scheduled task to automatically renew this certificate in the background.


    Deploying certificate
    Successfully deployed certificate for www.magic-object.mydns.jp to /etc/httpd/conf.d/ssl.conf
    Congratulations! You have successfully enabled HTTPS on https://www.magic-object.mydns.jp


    – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
    If you like Certbot, please consider supporting our work by:
    * Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
    * Donating to EFF: https://eff.org/donate-le
    – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

    ※ 「www.magic-object.mydns.jp」に対するSSL 証明書が作成され、「/etc/httpd/conf.d/ssl.conf」の内容が自動更新されています。

  5. apache の SSL 設定ファイル「/etc/httpd/conf.d/ssl.conf」の内容を確認します。

    $ sudo vi /etc/httpd/conf.d/ssl.conf

    ※ 仮にサーバーURLを「www.magic-object.mydns.jp」としておきます。
    1. ポート番号80番のパーチャルホスト確認。

      <VirtualHost *:80>
      ServerName www.magic-object.mydns.jp
      SSLEngine off
      RewriteEngine on
      RewriteCond %{SERVER_NAME} =www.magic-object.mydns.jp
      RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
      </VirtualHost>

      ※ ポート番号80番にアクセスした場合、「https://」にりダイレクトする項目が追加されている。

    2. ポート番号443番のパーチャルホスト確認。

      <VirtualHost *:443>

      〜以下略〜
      SSLCertificateFile /etc/letsencrypt/live/www.magic-object.mydns.jp/fullchain.pem
      SSLCertificateKeyFile /etc/letsencrypt/live/www.magic-object.mydns.jp/privkey.pem
      </VirtualHost>

      ※ 自動取得した SSL 証明書ファイルが追加されている。

    3. Apache を再起動します。

      $ sudo systemctl restart httpd

  6. 動作確認

  7. SSL 証明書の更新処理(非推奨)
    ※ この方法ではポート80番の使用により更新に失敗する様です。

    「/etc/cron.daily/certbot-renew.sh」ファイルの作成(新規)

    $ sudo vi /etc/cron.daily/certbot-renew.sh


    「/etc/cron.daily/certbot-renew.sh」ファイルの中身

    #!/bin/bash
    certbot renew

    「/etc/cron.daily/certbot-renew.sh」に実行権を付与

    $ sudo chmod +x /etc/cron.daily/certbot-renew.sh

     
  8. SSL 証明書の更新処理(推奨)

    # vi /etc/sysconfig/certbot

    証明書が変わると再起動させて読み込ませる必要がある。そこで証明書を利用させているサービスは全て一時的に停止させてリスタートさせる設定を記述する。

    PRE_HOOK="--pre-hook 'systemctl stop httpd dovecot postfix'"
    POST_HOOK="--post-hook 'systemctl restart httpd dovecot postfix'"

    次に更新タイマーを有効化する。

    # systemctl  enable certbot-renew.timer

    タイマーの確認(certbot-renew.timer が入っていれば OK)

    # systemctl list-timers
    NEXT LEFT LAST PASSED UNIT ACTIVATES
    Sun 2024-05-26 02:18:09 JST 9min Sun 2024-05-26 00:34:36 JST 1h 33min ago dnf-makecache.timer dnf-makecache.service
    Sun 2024-05-26 03:15:53 JST 1h 7min Sat 2024-05-25 03:15:53 JST 22h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service
    Sun 2024-05-26 17:40:52 JST 15h Sun 2024-05-26 01:40:23 JST 28min ago certbot-renew.timer certbot-renew.service
    Mon 2024-05-27 00:00:00 JST 21h Sun 2024-05-26 00:00:00 JST 2h 8min ago logrotate.timer logrotate.service
    Mon 2024-05-27 00:00:00 JST 21h Sun 2024-05-26 00:00:00 JST 2h 8min ago unbound-anchor.timer unbound-anchor.service
    Mon 2024-05-27 00:33:07 JST 22h Sun 2024-05-26 00:26:46 JST 1h 41min ago plocate-updatedb.timer plocate-updatedb.service
    Mon 2024-05-27 00:53:49 JST 22h Mon 2024-05-20 01:15:45 JST - fstrim.timer fstrim.service
    Sun 2024-06-02 01:00:00 JST 6 days Sun 2024-05-26 01:00:01 JST 1h 8min ago raid-check.timer raid-check.service

    8 timers listed.
    Pass --all to see loaded but inactive timers, too.

  9. その他

    参考にしたサイトはコチラ

    他の Linux や UNIX、MacOSX を利用している場合は、コチラを参照してください。(公式)
    ※ 公式では、Snap を利用してインストールしています。
Facebooktwitterfoursquare

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です