無料のSSL証明書「Let's Encrypt」
例えばこのブログのpentan.netはエックスサーバーの無料SSL設定を行っています。
ブラウザの鍵マークをクリックして証明書の情報をみてみると以下のようにな確認ができます。
注目は「発行者:Let's Encrypt Authority X3」の部分。
Let's Encryptは有名な無料SSL証明書が利用できるサービスです。
大手レンタルサーバーのエックスサーバーやさくらインターネットでも標準の機能として無料SSLというのが最近ありますが、こちらを採用しています。
Windowsサーバーの場合は、独自のサーバやVPSでは、自分でダウンロードして行うのが一般的なようです。
以下、実際にさくらのVPSのWindowsServer2016で無料SSL証明書を登録してhttps化できた状況をメモしていきます。
まずは「Let's Encrypt」を導入のための準備(ダウンロード等)
上記からダウンロードします。
たくさんあって迷いそうになりましたが、
win-acme.v2.1.4.710.x64.pluggable.zip
で問題なさそうでした。(2.1.4.710辺りは今後バージョンアップで変わると思う)
ダウンロード後はZIPファイルを適当にデスクトップ等にフォルダを作って解凍します。
wacs.exeを実行してSSL導入インストールする
wacs.exe を実行します。
起動するとコマンドプロンプトのような画面が表示されます。
基本的に質問形式で、表示しているメニューを数字やアルファベットでキーボードで入力していくだけです。(英語ですが・・)
以下の画像の赤丸の部分のように入力していきました。
最初のNとかMのメニューに戻ったら完了です。
yesの部分はyしか入れてませんが、入力後のログではyesとなるようです。
(ちなみに2回目以降のドメイン設定の場合は最初のy時点で設定完了します。)
メールアドレスは特にドメインのものでなくてもGmailなどでOKです。
正直英語ばかりで、ある程度翻訳しながら進めましたが、私もそうですが理解してなくても、こんな感じで進めれば大丈夫なようです。
もうこの時点でSSL化(https化)は完了しています。あとは確認していきましょう。
IISで確認
リモート接続しIIS起動
(スタート→Windows管理ツール→インターネット インフォメーション サービス (IIS) マネージャー)
IIS公開設定済みのサイトを右クリックし、「バインドの編集」
httpsでポート443で追加されていますね。
ブラウザで確認
httpsでアクセスすると、鍵マーク付きでページが表示しました。
証明書も有効になっています。さらに証明書をクリックすると・・・
エックスサーバーの無料SSLなどと同じように表示されています。
証明書の有効期間は3か月です。いちいち更新しなくても自動更新機能もインストール内容の中に含まれているようです。
ではタスクマネージャーを確認してみましょう。
タスクマネージャーで証明書の自動更新プログラムの確認
win-acme renew (acme-v02.api.letsencrypt.org) という名前のスケジューラーができています。これが自動更新を行うプログラムのようです。毎朝9時に実行され、更新があれば実行されるみたいです。そのままにしておくのがいいでしょう。
ただ毎朝9時実行に支障を感じる場合は、トリガー時間だけは変更してもいいかもしれませんね。
コメント