Certbot: HTTP-01 ドメイン検証を使用して Apache 用の証明書を発行してインストールする

開始する前に

証明書をインストールするには、以下の ACME 詳細情報をわかっていることを確認してください。

ACME ディレクトリの URL:
CertCentral アカウントの場合は、リージョン固有の URL を使用します（環境およびリージョンごとのインバウンド IP アドレスと URL を参照）。
ベース URL: https://one.digicert.com/mpki/api/v1/acme/v2/directory
リージョン固有の URL:
EU のリージョン: https://one.nl.digicert.com または https://one.ch.digicert.com
日本のリージョン: https://one.digicert.co.jp
米国のリージョン: https://one.us.digicert.com
デジサートから取得した外部アカウントバインディング（EAB）クレデンシャル:
- EAB 鍵識別子（KID）。CertCentral アカウントの場合は、ACME クレデンシャルを使用します。
  サンプル KID: zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g
- ACME クレデンシャルからのの外部アカウントバインディング HMAC キー。
  サンプル HMAC: RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnR

HTTP-01 方式で証明書を発行してインストールする

コマンドを実行する前に、Web サーバーでポート 80 が開いていることを確認します。

以下のコマンドをコマンドラインプロンプトにコピーします。

sudo certbot --apache --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} -d {FQDN} --manual --preferred-challenges http

中括弧内のコマンド引数プレースホルダーは、以下のように実際の値に置き換えてください。
コマンド引数プレースホルダー
- {MY-KEY-IDENTIFIER}: EAB KID を使用します。
- {MY-HMAC-KEY}: EAB HMAC キーを使用します。
- {ACME-URL}: リージョン固有の ACME ディレクトリ URL を使用します。
- {MY-CONFIG-DIR}: 現在のアプリケーションの Certbot 設定ファイルへのパス。--config-dir を省略すると、Certbot はデフォルトとして /etc/letsencrypt を使用します。
- {FQDN}: 証明書を保護する完全修飾ドメイン名（FQDN）。追加のドメインごとに -d を追加します。最初のエントリがコモンネーム（CN）になります。
オーダー処理
- デフォルトのオーダー: 要求された証明書が既存のオーダーに一致する場合、自動的にデフォルトの自動化アクションを適用します。「ACME 自動化アクション」を参照してください。
- 新規オーダー: 一致するオーダーが存在しない場合、または ACME URL に ?action=enroll が含まれる場合は、要求を新規オーダーとして扱い、証明書を登録します。
検証およびテンプレートの要件
- CertCentral に事前検証済みドメインを持つ OV および EV 証明書の場合、CertCentral は ACME プロトコル外で帯域外ドメイン制御検証を実行します。
HTTP-01 検証を要求するには、--preferred-challenges http オプションを使用します。
これは事前検証されていない DV 証明書および OV/EV 証明書に適用されます。

HTTP レコードを手動でドメインに追加するには、--manual オプションを使用して検証チャレンジを完了します。

手動モードで実行すると、コマンドはインタラクティブになります。Certbot には、検証の実行方法を決める HTTP 検証パラメータがあります。例:

How would you like to authenticate with the ACME CA?
---------------------------------------------------------------------------
1. Apache Web Server plugin (apache)
2. Obtain certificates using a DNS TXT record (if you are using AWS Route 53 for DNS). (dns-route53)
3. Spin up a temporary webserver (standalone)
4. Place files in webroot directory (webroot)
---------------------------------------------------------------------------
Select the appropriate number [1-4] then [enter] (press 'c' to cancel):

Certbot で HTTP 検証用に Apache Web サーバーを自動的に設定する場合は、メニューのオプション 1 を選択します。

必要な設定でポート 80 の仮想ホスト設定が更新されます。

Alias /.well-known/acme-challenge/ "/var/www/acme/acme-challenge/"
RewriteRule "^/.well-known/acme-challenge/" - [L]
<Directory "/var/www/acme/acme-challenge/"> 
    Options Indexes MultiViews 
    AllowOverride None 
    Order allow,deny 
</Directory>

プロセスを完了するには、コマンドを実行します。

次の手順

証明書の検証、発行、インストールの状態を successfully にする。

ドメインが検証され、証明書が発行されて Apache Web サーバーにインストールする。

To renew, reissue, or duplicate the certificate, see Certbot: ACME URL クエリパラメータを使用して証明書を更新、再発行、複製する

このセクションの内容: