タグ付けされた質問 「lets-encrypt」

Let's Encryptは、TLS暗号化用の無料のX.509証明書を提供する認証局です。

7
Let's Encrypt DNSチャレンジ検証の使用方法
Let's Encryptが以下を発表しました: ACME DNSチャレンジのサポートを有効にしました ./letsencrypt-autoDNSチャレンジドメイン検証を使用して新しい証明書を生成するにはどうすればよいですか? 編集 私が意味する:http/httpsターゲットドメインのDNSゾーンに特定のTXTレコードを追加してドメイン所有権を証明できる新しく発表された機能(2015-01-20)を使用して、ポートバインディングを回避するにはどうすればよいですか?
160 lets-encrypt 


2
nginxリバースプロキシで暗号化できます
前書き 開発サーバー(現在はUbuntu 14.04 LTSを実行しています)があります。これは、さまざまなポートでさまざまな開発ツールをホストするためにしばらく使用しています。ポートは覚えにくいため、すべてのサービスにポート80を使用し、ホスト名に基づいて内部でポート転送を行うことにしました。 domain.com:5432と書く代わりに、sub.domain.comから簡単にアクセスできます。 たとえば、ポート7547を使用し、sub.domain.comで実行されているアプリケーションXには、次のnginx構成があります。 upstream sub { server 127.0.0.1:7547; } server { listen 80; server_name sub.domain.com www.sub.domain.com; access_log /var/log/nginx/sub.log combined; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://127.0.0.1:7547; proxy_set_header Authorization ""; } } 質問 私が選択した現在の構成構造を考えると、letsencryptを使用してhttpsの下でさまざまなサービスを実行することは可能ですか?

5
SSL&Ngnix:SSLハンドシェイク中にSSLポートでリッスンするサーバーに「ssl_certificate」が定義されていません
エラーなしでLEを使用して証明書を作成できました。また、トラフィックをポート80からポート443にリダイレクトすることもできました。しかし、nginxサーバーをリロードすると、Webサイトにアクセスできません。Ngnixエラーログには次の行が表示されます。 4 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.0.104, server: 0.0.0.0:443 これは、証明書を見つけることができず、証明書のパスにナビゲートしたことを意味すると思いますが、それらは両方ありますが、問題は何ですか?Ngnixの構成は次のようになります。 server { listen 80; server_name pumaportal.com www.pumaportal.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; server_name pumaportal.com www.pumaportal.com; add_header Strict-Transport-Security "max-age=31536000"; ssl_certificate /etc/letsencrypt/live/pumaportal.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/pumaportal.com/privkey.pem; ssl_stapling on; ssl_stapling_verify on; …

5
暗号化するために管理者のメールを変更するにはどうすればよいですか?
Let's Encryptの使用を開始したときに管理者のメールアドレスとして使用したメールアドレスを変更する必要があります(元従業員が個人のメールアドレスを管理者のメールアドレスとして使用し、会社にいなくなりました)。その変更を取得するには、どの手順を実行する必要があります(元従業員にこれを確認させることができます)。彼の個人用メールアドレスを削除して、新しいメールアドレスに置き換える必要があります。これはキー回復アクションに使用されます。どちらの場合でも、元従業員の個人用メールアドレスを削除してください。これを達成するためにどのような手順を踏む必要がありますか(プロセスについての私の理解が間違っている場合、親切に正しい方向を示してください)。前もって感謝します。

2
letsencryptではなくDNSレコードを使用して自己署名証明書を検証しない理由
私はただ疑問に思っていました。多くのSSL証明書を使用します。最近では、ほとんど専らletsencryptを使用しています(ありがとう!)。これらの証明書の要点は、証明書のドメイン名の所有権の証明は、これらのドメインの下でDNSレコードまたはWebサイトを操作する力に由来するということです。DNS証明は、いくつかのキー(letsencryptで指定)をTXTレコードとしてDNSに追加することから得られます。 したがって、ドメインのDNSレコードを変更できる十分な証拠であれば、DNSのフィンガープリントで自己署名証明書を使用してみませんか? DNSベースのletsencrypt(およびその他のCA)の手順とまったく同じ信頼性が得られると思います。 自己署名CAを作成します(さまざまな方法の手順に従うだけです) いくつかのドメインの証明書を作成します 手順1のCAを使用して手順2の証明書に署名します。これで、信頼されていないCAによって署名された基本証明書が作成されました。 TXT(または専用)レコードを各ドメインのDNSに追加して、このCAでこのドメインの証明書に署名したことを示します。いいね: 'CA = -fingerpint of CA-' ブラウザは証明書をダウンロードし、CAのフィンガープリントとCA証明書を特定のドメインのDNS内のデータと比較することにより、証明書を検証します。 これにより、基本的なSSL証明書と同じ信頼レベルで、第三者の干渉なしに信頼できる自己署名証明書を作成できます。DNSにアクセスできる限り、証明書は有効です。暗号化などのDNSSECを追加して、CAとSOAレコードからハッシュを作成し、DNSレコードの変更で信頼が失われるようにすることもできます。 これは以前に考慮されましたか? ジェルマー

1
HTTPSを介してcertbot検証を暗号化しましょう
Certbot webrootプラグインのドキュメントから webrootプラグインは、でリクエストしたドメインごとに一時ファイルを作成することで機能します${webroot-path}/.well-known/acme-challenge。 次に、Let's Encrypt検証サーバーがHTTP要求を作成して、要求された各ドメインのDNSがcertbotを実行しているサーバーに解決されることを検証します。 私用のホームサーバーでは、ポート80が無効になっています。つまり、ルーターでポート転送が有効になっていません。私はそのポートを開くつもりはありません。 ドメインの所有権を検証するために、検証サーバーがHTTP要求ではなくHTTPS(ポート443)要求を行う必要があることをcertbotに伝えるにはどうすればよいですか? 検証サーバーは、デフォルトですでにHTTPを使用しているため、ホームサーバーの証明書を検証する必要さえありません。自己署名証明書、または更新の準備ができている証明書があるかもしれませんが、それは問題ではありません。 現在、証明書を作成/更新するためにポート80の転送とそのサーバーを有効にする必要がある状況にあります。これにより、cronjobを使用して証明書を更新することはできません。十分な作業があれば十分ですが、既に443でリッスンしているサーバーがあり、これも同様に機能します。
16 ssl  lets-encrypt 

5
Nginxは.htaccessおよび隠しファイルを無効にしますが、.well-knownディレクトリを許可します
Nginxサーバーを使用しており、 nginx_vhost.conf ## Disable .htaccess and other hidden files location ~ /\. { deny all; access_log off; log_not_found off; } ただし、LetsEncryptは.well-knownディレクトリにアクセスする必要があります 。 .well-knownディレクトリを許可し、他の隠しファイルを拒否するにはどうすればよいですか?

1
1つのサブディレクトリを除くすべてのリクエストをHTTPSにリダイレクトします
自己署名証明書からnginx Webサーバーの証明書を暗号化しようとしています。 現在、私はへのすべての要求をリダイレクトhttp/80するhttps/443私はしばらく前に作成した自己署名証明書を使用しています、。 今-私が理解していることから、Let's Encryptはポート80にリクエストを行います(私はwebrootオプションを使用していますcertbot)これらの要求はリダイレクトされ、証明書の生成が失敗します。 ポート80でリッスンし、次のサーバーブロックでこれを達成しようとしました。 server { listen 80; server_name sub.domain.tld; server_tokens off; location /.well-known { root /var/www/letsencrypt; } location / { return 301 https://$host$request_uri; } } しかし、へのリクエスト/.well-knownはhttps/443とにかくリダイレクトされます。 http/80へhttps/443のリクエストを除くすべてのリクエストをにリダイレクトするにはどうすればよい/.well-known/ですか?

3
Certbotは443とは異なるポートで暗号化できます
443とは異なるポートでWebサーバーのcertbotをセットアップしたいです。実行中に次のエラーが表示されました。 certbot --apache -d <sub>.<domain>.<ext> 認証手順に失敗しました。sub.domain.ext(tls-sni-01):urn:acme:error:connection ::サーバーはクライアントに接続してドメインを確認できませんでした:: TLS-SNI-01チャレンジのexternal_ip:443への接続に失敗しました このエラーの後、私はこれを見つけたマニュアルページを読みました: --tls-sni-01-port TLS_SNI_01_PORT tls-sni-01チャレンジを実行するためのポート番号。テストモードのボールダーのデフォルトは5001です(デフォルト:443)。 次に、このエラーを修正するために次のことを試しました。 certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext> tls-sni-01-portを追加した後、同じエラーが発生しました。 別のポートで証明書をインストールすることは可能ですか、それとも何か間違っていますか?


1
certbotとDNSチャレンジを使用してドメインを更新する
スタンドアロンの方法を使用して、いくつかのドメインのSSL証明書をいくつか作成しました。サーバー統合なしで、証明書のみに関心があります。 彼らは今更新のためです。だから、私は走った: certbot -d example.com --manual --preferred-challenges dns certonly そして、各ドメインの指示に従いました(各ドメインに必要なDNSエントリを追加します)。このようにして、サーバーを停止して新しい証明書を取得する必要がなくなりました。 私の(漠然とした)すべてについての理解は、DNSチャレンジを使用して証明書を自動的に更新する現在の方法がないことです。または、「手動」の方法で証明書を自動的に更新できないのでしょうか。 とにかく、私はこのスクリプトを書きました。 #!/bin/bash for i in renewal/*;do n=${i:8:-5}; echo $n; # echo "\n" | certbot --text --agree-tos -d $n --manual --preferred-challenges dns --expand --renew-by-default --manual-public-ip-logging-ok certonly; done この時点で、renewalディレクトリ内のすべてのドメインには以下が含まれています。 オーセンティケーター=手動 そして: pref_challs = dns-01 質問: さて...「certbot renew」を実行すると、スクリプトを使用せずにすべて自動的に更新されますか? DNSチャレンジを使用して新しい証明書を実際に作成するにはどうすればよいですか?

3
非公開サーバーのLet's Encrypt証明書を取得するにはどうすればよいですか?
StartSSL証明書を使用して、ポート443のLANからのみ到達可能なプライベートApacheサーバーがあります。 Firefox 51がリリースされてから、StartSSLルート証明書がトラストストアから削除されたため、Firefox 51に接続できなくなりました。 Let's Encryptへの移行を検討しましたが、公開されているHTTPサーバーが必要なようです。私の状況でLet's Encryptを使用することは可能ですか? 可能であれば、SSL証明書の支払いは避けたいと思います。

1
Neo4jでLetsEncrypt証明書を使用する
LetsEncryptによって生成された証明書ファイルをNeo4jインスタンスと一緒に使用するにはどうすればよいですか?LetsEncryptによって生成されるファイルは次のとおりです。 cert.pem chain.pem fullchain.pem privkey.pem PEMからDERへの変換を使用して、今までのところ運が悪いOpenSSL経由の変換を試みました。Neo4jは、起動時に証明書が見つからないことについて不満を述べています。問題は、LetsEncrypt証明書をNeo4jが使用できるものに変換する方法です。 セットアップの詳細: 証明書は、が所有する/var/lib/neo4j/certificates/名前neo4j.{cert,key}、権限とともに配置さ600れneo4j:nogroupます。これはすべてドキュメントによると思われます。 構成では、証明書のパスを指定する次の行があります。 dbms.directories.certificates=/var/lib/neo4j/certificates 構成では、HTTPS経由のリモートアクセスも有効にしています。 dbms.connector.https.address=0.0.0.0:7473 Neo4jを再起動すると、次のエラーメッセージが表示されます。 WARN Illegal character 0x16 in state=START for buffer HeapByteBuffer@5a260174[p=1,l=193,c=8192,r=192]={\x16<<< SEVERAL_LINES_OF_HEX_JIBBERISH_HERE } WARN badMessage: 400 Illegal character 0x16 for HttpChannelOverHttp@5d682358{r=0,c=false,a=IDLE,uri=-}

2
Letsencrypt-証明書の更新のために「.well-known」にアクセスできるようにしておく必要がありますか?
Apache 2.4サーバー用の証明書を作成しました。サーバーを検証するには、letsencryptがフォルダー.well-knownを作成してアクセスします。 (証明書の更新のために)このフォルダにアクセスできるようにしておく必要がありますか、それともフォルダを削除/ブロックできますか

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.