一昨年ぐらいから、無償で使えるSSL証明書ができるという話が出ていましたが、何となくCOMODOの証明書を使い続けていました。

このたび、証明書の更新を促すメールが来たのと、簡易なツールが充実してきていたことありLets’s Encrypt のSSL証明書に切り換えました。

環境は、CentOS + Apacheです。以下のサイトを参考にしつつ、環境があわない部分はユーザーガイドを参考にして変更しました。所用片手間で30分程度。
Let’s EncryptのSSL証明書で、安全なウェブサイトを公開:さくらのナレッジ さんです。
Let’s Encrypt ユーザーガイド:Let’s Encrypt 総合ポータル内のマニュアルです。

以下、作業メモとして残します。

  1. 環境を最新にする
    yum upgradeをかけます。kernel周りも更新がかかったため、念の為再起動
  2. さくらのナレッジさんのサイトを参考にcertbot-auto のセットアップを実施
  3. 同サイトを参考に証明書の作成
    証明書の出力される場所を確認しておくこと
  4. apacheのssl.confへ反映
    SSLCertificateFileにcert.pem
    SSLCertificateChainFileにchain.pem
    SSLCertificateKeyFileにprivkey.pem
    を指定
  5. apachectl gracefulを実施
    その後、ブラウザと適当なSSLチェックサイトで確認
  6. さくらのナレッジさんのサイトを参考にcrontab -eを使用して自動更新の設定を行う
  7. つづけて、dovecotはPOP3sの設定
    10-ssl.confで
    ssl_certuにfullchain.pem
    ssl_keyにprivkey.pem
    を指定
  8. dovecot reloadを実施
    その後、メーラーで警告が出ないことを確認

以上です。dovecotの再起動を指定していないので、1カ月前になったら再起動をかける必要があります。が、cronで指定してしまえばいいかな。

無償で、SSLが使えるので便利になったものです。しかし、nginxにも乗り換えたいのだけれども、どんどん先送りになってる・・・。