OpenBSD 6.1でLets Encryptを使用する

Let's Encryptから無料で有効なSSL証明書を取得できるようになったため、誰もが独自のSSL証明書を作成する必要がなくなりました。この証明書はドメインでのみ検証されているため、eコマースには使用しないでください。Let's Encryptが発行する証明書は、指定したプライマリドメインとサブドメインで有効ですが、Let's Encryptはまだワイルドカード証明書をサポートしていません。OpenBSDには、というLet's Encryptクライアントが含まれていますacme-client。

注：example.orgドメインに置き換えることを忘れないでください。

設定/etc/acme-client.conf設定ファイルを。

# cd /etc
# vi acme-client.conf

以下をファイルに追加します。domain full chain証明書は、検証のために有用であるレッツ・暗号化SSLチェーンを、含まれています。ここでは、の代わりに完全なチェーンを使用しdomain certificateます。

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

設定して起動しhttpd.confます。acme-clientはWebサーバーを使用してチャレンジを実行し、ドメインの有効性を確認します。有効な署名付き証明書を発行するには、これらのチャレンジが成功する必要があります。

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

と入力しacme-client -ADv example.orgます。これで有効なSSL証明書が得られます。証明書を再発行するためにacme-clientを再度実行する必要があるまで、90日間有効です。

エラーが発生した場合はport 80、ファイアウォールを開いていることを確認してください。example.orgVultrインスタンスのIPアドレスに解決されるDNS Aレコードが必要になります。

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf