Linux (snap) のその他
Certbot を使用するには…
コマンドラインとは、テキストベースのコマンドを入力してテキストベースの応答を受け取ることでコンピューターと対話する方法です。Certbot は通常、Unix 系サーバー上のコマンドラインインターフェースから実行されます。ほとんどの用途で Certbot を使用するには、ウェブサーバーのコマンドラインにインストールして実行できる必要があります。これは通常、SSH を介してアクセスします。
コマンドラインとは、テキストベースのコマンドを入力して…
HTTP(Hypertext Transfer Protocol)は、ウェブブラウザがウェブサーバーからウェブページやその他のオンラインリソースのコンテンツを要求するための従来の方法ですが、安全ではありません。インターネット標準であり、通常は TCP ポート 80 で使用されます。世界中のほとんどすべてのウェブサイトが HTTP をサポートしていますが、Certbot またはその他の HTTPS 設定方法で設定されたウェブサイトは、サイトの HTTP バージョンから HTTPS バージョンにユーザーを自動的にリダイレクトすることがあります。
HTTP(Hypertext Transfer Protocol)は、ウェブブラウザが…
HTTP(Hypertext Transfer Protocol)は、ウェブブラウザがウェブサーバーからウェブページやその他のオンラインリソースのコンテンツを要求するための従来の方法ですが、安全ではありません。インターネット標準であり、通常は TCP ポート 80 で使用されます。世界中のほとんどすべてのウェブサイトが HTTP をサポートしていますが、Certbot またはその他の HTTPS 設定方法で設定されたウェブサイトは、サイトの HTTP バージョンから HTTPS バージョンにユーザーを自動的にリダイレクトすることがあります。
既に
Certbot は通常、既存の HTTP サイトを HTTPS で動作するように切り替えるため(そしてその後、必要に応じてサイトの HTTPS 証明書を更新し続けるため)に使用されます。Certbot のドキュメントの中には、ポート 80 で HTTP を使用して既にアクセスできる動作中のウェブサイトがあると想定または推奨しているものがあります。つまり、たとえば、http:// を使用してドメインにウェブブラウザでアクセスすると、ウェブサーバーが応答し、何らかのコンテンツが表示される(最終版のサイトではなく、デフォルトのウェルカムページだけでも良い)ことを意味します。Certbot の使用方法によっては、これが前提条件となるため、既に HTTP で設定されたサイトがある方がスムーズに操作できます。(ポリシーの理由でこのようにサイトにアクセスできない場合は、Certbot で証明書を取得するために DNS 検証を使用する必要があるでしょう。)
Certbot は通常、既存の HTTP サイトを HTTPS で動作するように切り替えるため…
Certbot は通常、既存の HTTP サイトを HTTPS で動作するように切り替えるため(そしてその後、必要に応じてサイトの HTTPS 証明書を更新し続けるため)に使用されます。Certbot のドキュメントの中には、ポート 80 で HTTP を使用して既にアクセスできる動作中のウェブサイトがあると想定または推奨しているものがあります。つまり、たとえば、http:// を使用してドメインにウェブブラウザでアクセスすると、ウェブサーバーが応答し、何らかのコンテンツが表示される(最終版のサイトではなく、デフォルトのウェルカムページだけでも良い)ことを意味します。Certbot の使用方法によっては、これが前提条件となるため、既に HTTP で設定されたサイトがある方がスムーズに操作できます。(ポリシーの理由でこのようにサイトにアクセスできない場合は、Certbot で証明書を取得するために DNS 検証を使用する必要があるでしょう。)
開いている
異なるインターネットサービスは、異なる TCP ポート番号を使用して区別されます。暗号化されていない HTTP は通常 TCP ポート 80 を使用し、暗号化された HTTPS は通常 TCP ポート 443 を使用します。certbot --webroot、certbot --apache、または certbot --nginx を使用するには、Certbot を使用するサーバーで既にオンラインになっている既存の HTTP ウェブサイトが必要です。このサイトは、ポート 80 でインターネットの他の部分からアクセスできる必要があります。certbot --standalone を使用する場合、既存のサイトは必要ありませんが、インターネットサービスプロバイダーまたはウェブホスティングプロバイダーによって実行されるファイアウォールを含む、サーバー上のポート 80 への接続がファイアウォールによってブロックされていないことを確認する必要があります。不明な場合は、ISP またはホスティングプロバイダーに確認してください。(DNS 検証を使用する場合、Let's Encrypt がサーバーへのインバウンド接続を行う必要がないため、この方法では特に、既存の HTTP ウェブサイトやポート 80 で接続を受信する機能は必要ありません。)
異なるインターネットサービスは、異なる TCP ポート番号を使用して区別されます。暗号化されていない HTTP…
異なるインターネットサービスは、異なる TCP ポート番号を使用して区別されます。暗号化されていない HTTP は通常 TCP ポート 80 を使用し、暗号化された HTTPS は通常 TCP ポート 443 を使用します。certbot --webroot、certbot --apache、または certbot --nginx を使用するには、Certbot を使用するサーバーで既にオンラインになっている既存の HTTP ウェブサイトが必要です。このサイトは、ポート 80 でインターネットの他の部分からアクセスできる必要があります。certbot --standalone を使用する場合、既存のサイトは必要ありませんが、インターネットサービスプロバイダーまたはウェブホスティングプロバイダーによって実行されるファイアウォールを含む、サーバー上のポート 80 への接続がファイアウォールによってブロックされていないことを確認する必要があります。不明な場合は、ISP またはホスティングプロバイダーに確認してください。(DNS 検証を使用する場合、Let's Encrypt がサーバーへのインバウンド接続を行う必要がないため、この方法では特に、既存の HTTP ウェブサイトやポート 80 で接続を受信する機能は必要ありません。)
サーバーは、ウェブサイトやメールサービスなどのサービスを提供するインターネット上のコンピューターです。ほとんどのウェブサイト所有者は、データセンターに設置され、インターネット経由で管理されるサーバーの使用のためにホスティングプロバイダーに料金を支払います。これは、物理的な専用サーバー、仮想プライベートサーバー(VPS)、または共有サーバーの場合があります。他のサーバーは、DNSサーバーなど、インターネットインフラストラクチャの他の部分を担当しています。
サーバーは、ウェブサイトやメールサービスなどのサービスを提供するインターネット上のコンピューターです…
サーバーは、ウェブサイトやメールサービスなどのサービスを提供するインターネット上のコンピューターです。ほとんどのウェブサイト所有者は、データセンターに設置され、インターネット経由で管理されるサーバーの使用のためにホスティングプロバイダーに料金を支払います。これは、物理的な専用サーバー、仮想プライベートサーバー(VPS)、または共有サーバーの場合があります。他のサーバーは、DNSサーバーなど、インターネットインフラストラクチャの他の部分を担当しています。
でホストされており、
SSH(「セキュアシェル」の略)は、リモートサーバーに接続し、そのサーバーのコマンドラインにアクセスする技術で、多くの場合、サーバーの管理に使用されます。サーバーの管理者は、他の人にSSHアクセス権限を付与したり、SSHアクセスを直接使用してリモートでサーバーを管理することもできます。SSHは通常、Unixライクなオペレーティングシステムを実行しているサーバーへのアクセスに使用されますが、SSHを使用するために自分のコンピューターがUnixを実行している必要はありません。通常、LinuxまたはmacOSを実行しているコンピューターを使用する場合は、ターミナルで`ssh username@example.com`などのコマンドを入力して、コンピューターのコマンドラインからSSHを使用します。ログイン後、サーバーのコマンドラインにアクセスできます。Windowsコンピューターを使用している場合は、PuTTYなどの専用のSSHアプリケーションを使用することもできます。Certbotユーザーのほとんどは、SSH経由でリモートサーバーのコマンドプロンプトからCertbotを実行します。
SSH(「セキュアシェル」の略)は、リモートサーバーに接続し、…
SSH(「セキュアシェル」の略)は、リモートサーバーに接続し、そのサーバーのコマンドラインにアクセスする技術で、多くの場合、サーバーの管理に使用されます。サーバーの管理者は、他の人にSSHアクセス権限を付与したり、SSHアクセスを直接使用してリモートでサーバーを管理することもできます。SSHは通常、Unixライクなオペレーティングシステムを実行しているサーバーへのアクセスに使用されますが、SSHを使用するために自分のコンピューターがUnixを実行している必要はありません。通常、LinuxまたはmacOSを実行しているコンピューターを使用する場合は、ターミナルで`ssh username@example.com`などのコマンドを入力して、コンピューターのコマンドラインからSSHを使用します。ログイン後、サーバーのコマンドラインにアクセスできます。Windowsコンピューターを使用している場合は、PuTTYなどの専用のSSHアプリケーションを使用することもできます。Certbotユーザーのほとんどは、SSH経由でリモートサーバーのコマンドプロンプトからCertbotを実行します。
経由でアクセスできます。
Sudoは、Unixライクなオペレーティングシステムで、root(システム管理者)として特定のコマンドを実行するための最も一般的なコマンドです。root以外のユーザーとしてサーバーにログインしている場合、特にApacheやNginxなどのWebサーバーとのCertbotの統合を使用している場合は、Certbotコマンドの前にsudoを付ける必要があります(例:`sudo certbot`ではなく`certbot`)。(certbot-autoスクリプトは、必要に応じて、指定されていなくても自動的にsudoを実行します。)
Sudoは、Unixライクなオペレーティングシステムで、root(システム管理者)として特定のコマンドを実行するための…
Sudoは、Unixライクなオペレーティングシステムで、root(システム管理者)として特定のコマンドを実行するための最も一般的なコマンドです。root以外のユーザーとしてサーバーにログインしている場合、特にApacheやNginxなどのWebサーバーとのCertbotの統合を使用している場合は、Certbotコマンドの前にsudoを付ける必要があります(例:`sudo certbot`ではなく`certbot`)。(certbot-autoスクリプトは、必要に応じて、指定されていなくても自動的にsudoを実行します。)
機能を使用できます。 ワイルドカード証明書
ワイルドカード証明書は、*.で始まる1つ以上の名前を含む証明書です。ブラウザは、アスタリスク(*)の代わりに任意のラベルを受け入れます。たとえば、*.example.comの証明書は、www.example.com、mail.example.com、hello.example.com、goodbye.example.comで有効になります。
ただし、のみ*.example.comという名前を含むワイルドカード証明書は、example.comでは無効になります。置換されたラベルは空にすることができません。証明書をexample.comで有効にするには、example.com(つまり、*.部分なし)も証明書に含める必要があります。
さらに、アスタリスクは1つのラベルでのみ置換でき、複数のラベルでは置換できません。たとえば、hello.goodbye.example.comという名前は、*.example.comという名前のみを含む証明書ではカバーされません。ただし、*.goodbye.example.comではカバーされます。ワイルドカード名は複数のアスタリスクを含めることができません。たとえば、*.*.example.comは無効です。
ワイルドカード証明書は、*.で始まる1つ以上の名前を含む証明書です。ブラウザは…
ワイルドカード証明書は、*.で始まる1つ以上の名前を含む証明書です。ブラウザは、アスタリスク(*)の代わりに任意のラベルを受け入れます。たとえば、*.example.comの証明書は、www.example.com、mail.example.com、hello.example.com、goodbye.example.comで有効になります。
ただし、のみ*.example.comという名前を含むワイルドカード証明書は、example.comでは無効になります。置換されたラベルは空にすることができません。証明書をexample.comで有効にするには、example.com(つまり、*.部分なし)も証明書に含める必要があります。
さらに、アスタリスクは1つのラベルでのみ置換でき、複数のラベルでは置換できません。たとえば、hello.goodbye.example.comという名前は、*.example.comという名前のみを含む証明書ではカバーされません。ただし、*.goodbye.example.comではカバーされます。ワイルドカード名は複数のアスタリスクを含めることができません。たとえば、*.*.example.comは無効です。
DNS認証情報は、DNSレコードの内容を変更するためにDNSプロバイダーが使用できるようにするパスワードまたはその他の秘密情報(APIキーなど)です。通常、ドメインレジストラ(または、DNSプロバイダーがレジストラと同じでない場合は別のDNSプロバイダー)によって発行されます。DNS認証情報は、サイト全体を乗っ取るために使用できるため、機密性の高い秘密情報です。これらの認証情報を公開したり、権限のないユーザーと共有したりしないでください。Certbotがローカルマシンで実行されるため、DNS検証を自動的に実行できるようにCertbotにコピーを提供しても問題ありません。
DNS認証情報は、DNSレコードの内容を変更するためにDNSプロバイダーが使用できるようにするパスワードまたはその他の秘密情報(APIキーなど)です…
DNS認証情報は、DNSレコードの内容を変更するためにDNSプロバイダーが使用できるようにするパスワードまたはその他の秘密情報(APIキーなど)です。通常、ドメインレジストラ(または、DNSプロバイダーがレジストラと同じでない場合は別のDNSプロバイダー)によって発行されます。DNS認証情報は、サイト全体を乗っ取るために使用できるため、機密性の高い秘密情報です。これらの認証情報を公開したり、権限のないユーザーと共有したりしないでください。Certbotがローカルマシンで実行されるため、DNS検証を自動的に実行できるようにCertbotにコピーを提供しても問題ありません。
これらの要件を満たしていませんか?
ご心配なく!一部のホスティングプロバイダーはHTTPSプロセスを自動化しています。ホスティングプロバイダーの完全なリストを見る、またはシステムの設定方法の詳細を確認する。
- サーバーへのSSH接続
sudo権限を持つユーザーとして、HTTPウェブサイトを実行しているサーバーにSSH接続します。
- snapdのインストール
snapdをインストールし、クラシックsnapサポートを有効にするための手順に従う必要があります。
- certbot-autoとCertbot OSパッケージを削除します
apt、dnf、yumなどのOSパッケージマネージャーを使用してCertbotパッケージをインストールしている場合は、Certbotスナップをインストールする前にそれらを取り除く必要があります。これにより、certbotコマンドを実行したときに、OSパッケージマネージャーからのインストールではなく、スナップが使用されるようになります。これを行うための正確なコマンドはOSによって異なりますが、一般的な例としては、sudo apt-get remove certbot、sudo dnf remove certbot、sudo yum remove certbotなどがあります。 - Certbotのインストール
マシンでコマンドラインからこのコマンドを実行してCertbotをインストールします。
sudo snap install --classic certbot
- Certbotコマンドの準備
マシンでコマンドラインから次の手順を実行して、
certbotコマンドを実行できるようにします。sudo ln -s /snap/bin/certbot /usr/bin/certbot
- Certbotの実行方法を選択します
ウェブサイトを一時的に停止してもよろしいですか?
はい、私のウェブサーバーは現在このマシンでは実行されていません。
ウェブサーバーを停止してから、このコマンドを実行して証明書を取得します。Certbotはマシン上にウェブサーバーを一時的に起動します。
sudo certbot certonly --standalone
いいえ、ウェブサーバーを稼働させたままにしておく必要があります。
既にポート80を使用しているウェブサーバーがあり、Certbotの実行中に停止したくない場合は、このコマンドを実行し、ターミナルの指示に従ってください。
sudo certbot certonly --webroot
- 証明書のインストール
新しい証明書をウェブサーバーの構成ファイルにインストールする必要があります。
- 自動更新のテスト
システム上のCertbotパッケージには、期限が切れる前に証明書を自動的に更新するcronジョブまたはsystemdタイマーが付属しています。構成を変更しない限り、Certbotを再度実行する必要はありません。このコマンドを実行して、証明書の自動更新をテストできます。
sudo certbot renew --dry-run
certbotの更新コマンドは、次のいずれかの場所にインストールされています。
/etc/crontab//etc/cron.*/*systemctl list-timers
- Certbotが正常に動作したことを確認します
サイトが正しく設定されていることを確認するには、ブラウザで
https://yourwebsite.com/にアクセスし、URLバーのロックアイコンを探します。
- DNSプロバイダーがサポートされているかどうかを確認します
当社のドキュメントにあるこのリストを確認して、DNSプロバイダーがCertbotでサポートされているかどうかを確認してください。
サポートされていませんか?
DNSプロバイダーがサポートされていない場合は、ここで一時停止します。当社のドキュメントの手順を使用して、manualプラグインを使用してCertbotを実行してください。
サポートされていますか?
DNSプロバイダーがサポートされている場合は、以下の手順を続行してください。
- サーバーへのSSH接続
sudo権限を持つユーザーとして、HTTPウェブサイトを実行しているサーバーにSSH接続します。
- snapdのインストール
snapdをインストールし、クラシックsnapサポートを有効にするための手順に従う必要があります。
- certbot-autoとCertbot OSパッケージを削除します
apt、dnf、yumなどのOSパッケージマネージャーを使用してCertbotパッケージをインストールしている場合は、Certbotスナップをインストールする前にそれらを取り除く必要があります。これにより、certbotコマンドを実行したときに、OSパッケージマネージャーからのインストールではなく、スナップが使用されるようになります。これを行うための正確なコマンドはOSによって異なりますが、一般的な例としては、sudo apt-get remove certbot、sudo dnf remove certbot、sudo yum remove certbotなどがあります。 - Certbotのインストール
マシンでコマンドラインからこのコマンドを実行してCertbotをインストールします。
sudo snap install --classic certbot
- Certbotコマンドの準備
マシンでコマンドラインから次の手順を実行して、
certbotコマンドを実行できるようにします。sudo ln -s /snap/bin/certbot /usr/bin/certbot
- プラグインの包含レベルを確認します
マシンでコマンドラインからこのコマンドを実行して、インストールされたプラグインがCertbotスナップと同じ
classic包含を持つことを確認します。sudo snap set certbot trust-plugin-with-root=ok
Certbotの実行に問題が発生した場合は、この手順を実行してから、「正しいDNSプラグインのインストール」の手順をもう一度実行する必要がある場合があります。
- 正しいDNSプラグインをインストールします
次のコマンドを実行し、<PLUGIN>をDNSプロバイダーの名前に置き換えます。
sudo snap install certbot-dns-<PLUGIN>
たとえば、DNSプロバイダーがCloudflareの場合は、次のコマンドを実行します。
sudo snap install certbot-dns-cloudflare
- 資格情報のセットアップ
DNS資格情報を設定する必要があります。
ドキュメントリストのDNSプラグイン名をクリックして、DNSプロバイダーの「資格情報」セクションの手順に従い、適切な資格情報構成ファイルにアクセスするか作成します。
- 証明書を取得します
DNSプロバイダーの手順の「例」セクションにあるコマンドのいずれかを実行します。
- 証明書のインストール
新しい証明書をウェブサーバーの構成ファイルにインストールする必要があります。
- 自動更新のテスト
システム上のCertbotパッケージには、期限が切れる前に証明書を自動的に更新するcronジョブまたはsystemdタイマーが付属しています。構成を変更しない限り、Certbotを再度実行する必要はありません。このコマンドを実行して、証明書の自動更新をテストできます。
sudo certbot renew --dry-run
certbotの更新コマンドは、次のいずれかの場所にインストールされています。
/etc/crontab//etc/cron.*/*systemctl list-timers
- Certbotが正常に動作したことを確認します
サイトが正しく設定されていることを確認するには、ブラウザで
https://yourwebsite.com/にアクセスし、URLバーのロックアイコンを探します。
