Let’s EncryptによるSSLの設定方法について(DirectAdmin)

■はじめに

一部のDirectAdminサーバでは、Let’s Encryptによる無料SSLをご利用いただけます。
共用SSLではなく、お客様自身のドメインによる専用SSLです。

■Let’s Encryptについて

Eコマースには有償のサーバ証明書をお勧めします。

Let’s Encryptは無償かつ簡単な設定で利用できることが大きなメリットですが、半面「誰でもSSLを利用できる」ことから、詐欺など悪意のあるWebサイトが、Let’s EncryptでSSL化して一見安全なサイトに見せかけてしまう事例が報告されています。

社内利用など限られたユーザだけが利用するWebサイトや、とりあえず常時SSL化を達成したい場合などにはLet’s Encryptはおすすめできますが、Eコマースや個人情報入力を求めるページがあるWebサイトでは、利用者の安心と信頼を得られるように、実在確認審査がしっかりした、有償のSSL証明書をお勧めします。

1.Let’s Encryptとは

Let’s Encryptは、SSLサーバ証明書認証局(CA)の一つです。
非営利団体ISRG (Internet Security Research Group) が運営しており、シスコシステムズ、アカマイ、EFF、モジラ財団などの大手企業・団体がLet’s Encrypt を支援しています。

2.特徴(他のサーバ証明書との利用方法の違い)

主な特徴は、無料であることです。
ドメインを所持し、そのドメインのサーバの管理権限を有している人であれば、誰でも無料で証明書を取得できます。商用利用ももちろん可能です(Eコマースに利用するのであれば有料のSSL証明書をお勧めします)

運用の自動化。専用のエージェントプログラムをサーバにインストールし、サーバ証明書の発行申請・審査、発行された証明書のWEBサーバへの設定、証明書更新といった、SSL利用上の手続きや設定作業が、少ない手順で簡単に行えるようになっています。

オープンな技術の採用。証明書の自動発行・更新に使われるACMEプロトコルは、公開されています。

3.審査(認証)について

Let’s Encryptは「ドメイン認証」です。以下の手続きを行い、WEBサイトが確かに存在し、申請者がそのWEBサイトの管理権限を有することを確認します。

  1. 認証局から指定された名前のファイルをWEBスペースに設置
  2. 認証局は、指定したファイルにHTTPまたはHTTPSでアクセスしてファイルの存在を確認
  3. ファイルの存在が確認できれば認証完了

認証の手続きも自動的に行われますので、認証ファイルの設置について意識することはありません。

4.有効期限と更新について

Let’s Encryptサーバ証明書の有効期限は3ヶ月です。期限が近づくと自動的に更新されます。ほとんどの場合、一度証明書を設定すれば、以後はほとんど手がかかりません。

5.互換性について

Let’s Encryptは比較的新しい証明書ですが、ルート証明書はほとんどのモダンブラウザにインストールされています。

DirectAdminコントロールパネルから簡単に設定できます。CSRの作成、認証局への発行申請、審査対応、発行されたサーバ証明書のインストールすべて自動的に行われます。

設定した証明書は、もちろん自動更新されます。

※そのドメイン名でWEBサイトにアクセスできるよう、あらかじめDNSが設定されていなければなりません。
他から移転してくる場合も、いったん非SSLで移転が完了してから設定してください。

※ドキュメントルート直下の「.well-known」ディレクトリ・フォルダを、ドメイン認証の際に利用します。「.well-known」ディレクトリ・フォルダはアクセスを制限しないようにしてください。

このディレクトリ・フォルダは最初は存在しません。必要な時に自動作成されます。認証後は削除しても問題ありません(次の更新時に再作成されます)。

※SNI SSLとなります。共用IPアドレスでWEBサイトを公開します。専用IPアドレスは、必要ありませんし逆に、専用IPアドレスを設定してはいけません。

※発行手続きのやり直しも可能ですが、同じ証明書を繰り返し発行できるのは週5回までに制限されています。

■SSLの設定方法

(共用サーバ以外)あらかじめ、設定するドメインのDAユーザのスキンをenhancedスキンに、言語を「ja」に変更しておきます。

1.DirectAdminコントロールパネルにログイン

2.右メニュー「ユーザーページ」をクリック

3.「Advanced Features」の「SSL証明書」をクリック

4.左端のラジオボタンで上から2番目を選択

5.上から3番目「無料&自動証明書 Let’s Encrypt」を選択

6.以下を入力

コモンネームドメイン名
キーサイズ(ビット)秘密鍵の長さ、4096ビット推奨
証明書タイプ署名アルゴリズム。SHA256推奨
Let’s Envrypt Certificate Entries証明書に追加するドメインにチェックを入れます。
最大20個まで。
メインのドメイン名は含める必要があります。

※コモンネームおよび「Let’s Encrypt Certificate Entries」には、実際にURLに使用するドメイン名を指定して下さい。「https://www.example.com」でアクセスしてもらうには「www.example.com」が含まれていなればなりません。

また、DirectAdminで設定できるのはWEBサイトのみになります。「mail」や「pop」など、メールに関係するサブドメインを選択しても、メール送受信が暗号化されるわけではありません。「ftp」サブドメインを暗号化してもFTPが暗号化されるわけではありません(LDプランでは、お客様が設定されなくても、メールはSSL対応です)。

7.「保存」をクリック

少し時間がかかります。SSLサーバ証明書のインストールとWEBサイトのSSL設定が完了します。

ページ上部へ戻る