Web

Let’s Encrypt: ホスト名毎に証明書を分けて発行する

投稿日:2020年6月30日 更新日:

1. はじめに

Let’s Encrypt を用いて複数のホスト名に対して証明書を発行する場合、1つの証明書にまとめてしまうこともできますが、ホスト名毎に証明書を分けて発行しておくと便利に運用できます。

例えば、複数のホスト名を1つの証明書で発行すると、証明書を見られたときに別のホスト名が分かってしまいます。また、証明書ファイルが漏えいした場合も、影響範囲を最小限に抑えることができます。

2. Let’s Encrypt でホスト名別に証明書を発行する

証明書の発行

Let’s Encrypt でホスト名別に証明書を発行・更新する場合の手順は以下になります。

  1. ホスト名毎に certbot コマンドを実行して証明書を発行する
  2. 期限を延長するために証明書を更新するには、--cert-name オプションに証明書を1つ指定して certbot renew コマンドを実行します。つまり、ホスト名毎に別にこのコマンドを実行することになります。

証明書毎に certbot コマンドを実行して発行を行う際には、ホスト名によって(つまりコマンド別に)異なるオプション(例えば、チャレンジが異なるなど)を指定していても問題ありません。

証明書の更新

証明書を更新するには certbot renew コマンドが使えますが、ホスト名毎に別に実行する必要があります。その際には --cert-name オプションで証明書の名前を指定します。

証明書の名前は以下のコマンドを実行すると表示されます。

sudo certbot certificates

このコマンドの実行結果の例を示します。

certbot certificates を実行した結果の例

赤枠で囲った部分に、証明書の名前が表示されています。

Linux サーバーの cron を使って毎月更新するのであれば、例えば /etc/crond.d/letsencrypt ファイルを生成し、以下を記述します。

# 毎月1日の1時に実行する
0 1 1 * * root /usr/bin/certbot renew \
        --cert-name foo.example.jp \
        --pre-hook "systemctl stop httpd.service" \
        --post-hook "systemctl start httpd.service"

# 毎月2日の1時に実行する
0 1 2 * * root /usr/bin/certbot renew \
        --cert-name bar.example.jp \
        --pre-hook "systemctl stop httpd.service" \
        --post-hook "systemctl start httpd.service"

# 毎月3日の1時に実行する
0 1 3 * * root /usr/bin/certbot renew \
        --cert-name baz.example.jp \
        --pre-hook "systemctl stop httpd.service" \
        --post-hook "systemctl start httpd.service"

3. 参考

📂-Web

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Web

閲覧しているウェブページで利用されている HTTP のバージョンを確認する方法

ウェブブラウザで ウェブサイトを閲覧している際、HTTP のどのバージョンが使われているのか確かめる方法を紹介します。 目次Chrome の場合FirefoxEdge Chrome の場合 (1) ウ …

Web Vitals

Chrome UX Report API を使う手順 (cURL の場合)

Chrome UX Report API を使う手順 (cURL の場合)を紹介します。

DokuWiki

DokuWiki の Tips

DokuWiki の設定やカスタマイズなどの細かい Tips をここにまとめておきます。 目次きれいな URL にするデザインを変えるファビコンを変更する(ファイル名や拡張子を変更する場合)外部リンク …

Chrome

Chrome 78 の新機能

ome 78 の新機能について簡単に説明します。

no image

ドメインに関して気を付けること

目次TLS証明書ドメインの乗っ取り1. TLS証明書が発行されてしまうとまずい2. メールアドレスが利用されてしまう TLS証明書 証明書の期限を短くする。 ドメインの乗っ取り 1. TLS証明書が発 …