- Home
- Let’s EncryptによるSSLの設定方法について(DirectAdmin)
Let’s EncryptによるSSLの設定方法について(DirectAdmin)
■はじめに
一部のDirectAdminサーバでは、Let’s Encryptによる無料SSLをご利用いただけます。
共用SSLではなく、お客様自身のドメインによる専用SSLです。
■Let’s Encryptについて
1.Let’s Encryptとは
Let’s Encryptは、SSLサーバ証明書認証局(CA)の一つです。
非営利団体ISRG (Internet Security Research Group) が運営しており、シスコシステムズ、アカマイ、EFF、モジラ財団などの大手企業・団体がLet’s Encrypt を支援しています。
2.特徴(他のサーバ証明書との利用方法の違い)
主な特徴は、無料であることです。
ドメインを所持し、そのドメインのサーバの管理権限を有している人であれば、誰でも無料で証明書を取得できます。商用利用ももちろん可能です(Eコマースに利用するのであれば有料のSSL証明書をお勧めします)
運用の自動化。専用のエージェントプログラムをサーバにインストールし、サーバ証明書の発行申請・審査、発行された証明書のWEBサーバへの設定、証明書更新といった、SSL利用上の手続きや設定作業が、少ない手順で簡単に行えるようになっています。
オープンな技術の採用。証明書の自動発行・更新に使われるACMEプロトコルは、公開されています。
3.審査(認証)について
Let’s Encryptは「ドメイン認証」です。以下の手続きを行い、WEBサイトが確かに存在し、申請者がそのWEBサイトの管理権限を有することを確認します。
- 認証局から指定された名前のファイルをWEBスペースに設置
- 認証局は、指定したファイルにHTTPまたはHTTPSでアクセスしてファイルの存在を確認
- ファイルの存在が確認できれば認証完了
認証の手続きも自動的に行われますので、認証ファイルの設置について意識することはありません。
4.有効期限と更新について
Let’s Encryptサーバ証明書の有効期限は3ヶ月です。期限が近づくと自動的に更新されます。ほとんどの場合、一度証明書を設定すれば、以後はほとんど手がかかりません。
5.互換性について
Let’s Encryptは比較的新しい証明書ですが、ルート証明書はほとんどのモダンブラウザにインストールされています。
■
DirectAdminコントロールパネルから簡単に設定できます。CSRの作成、認証局への発行申請、審査対応、発行されたサーバ証明書のインストールすべて自動的に行われます。
設定した証明書は、もちろん自動更新されます。
■
※そのドメイン名でWEBサイトにアクセスできるよう、あらかじめDNSが設定されていなければなりません。
他から移転してくる場合も、いったん非SSLで移転が完了してから設定してください。
※ドキュメントルート直下の「.well-known」ディレクトリ・フォルダを、ドメイン認証の際に利用します。「.well-known」ディレクトリ・フォルダはアクセスを制限しないようにしてください。
このディレクトリ・フォルダは最初は存在しません。必要な時に自動作成されます。認証後は削除しても問題ありません(次の更新時に再作成されます)。
※SNI SSLとなります。共用IPアドレスでWEBサイトを公開します。専用IPアドレスは、必要ありませんし逆に、専用IPアドレスを設定してはいけません。
※発行手続きのやり直しも可能ですが、同じ証明書を繰り返し発行できるのは週5回までに制限されています。
■SSLの設定方法
※(共用サーバ以外)あらかじめ、設定するドメインのDAユーザのスキンをenhancedスキンに、言語を「ja」に変更しておきます。
1.DirectAdminコントロールパネルにログイン
↓
2.右メニュー「ユーザーページ」をクリック
↓
3.「Advanced Features」の「SSL証明書」をクリック
↓
4.左端のラジオボタンで上から2番目を選択
↓
5.上から3番目「無料&自動証明書 Let’s Encrypt」を選択
↓
6.以下を入力
コモンネーム | ドメイン名 |
キーサイズ(ビット) | 秘密鍵の長さ、4096ビット推奨 |
証明書タイプ | 署名アルゴリズム。SHA256推奨 |
Let’s Envrypt Certificate Entries | 証明書に追加するドメインにチェックを入れます。 最大20個まで。 メインのドメイン名は含める必要があります。 |
※コモンネームおよび「Let’s Encrypt Certificate Entries」には、実際にURLに使用するドメイン名を指定して下さい。「https://www.example.com」でアクセスしてもらうには「www.example.com」が含まれていなればなりません。
また、DirectAdminで設定できるのはWEBサイトのみになります。「mail」や「pop」など、メールに関係するサブドメインを選択しても、メール送受信が暗号化されるわけではありません。「ftp」サブドメインを暗号化してもFTPが暗号化されるわけではありません(LDプランでは、お客様が設定されなくても、メールはSSL対応です)。
↓
7.「保存」をクリック
少し時間がかかります。SSLサーバ証明書のインストールとWEBサイトのSSL設定が完了します。