僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
letcencryptの秘密鍵とサーバ証明書をNASにインストールしてみた
のは三ヶ月近く前だけど、書いてなかった。
当該機器には工場出荷時でSSLが入ってるから、特に証明書を
用意しなくても暗号化通信は不可能ではない。だが、
ドメイン名で怒られることは言うまでもない。
また、通信が幾分不安定だったように記憶するが、それが不適切な
証明書のせいかどうか、よく分からなかった。Letsencrypt
で比較的安定していたはずだ。
lxc環境下にstretchを用意する。
IPアドレスを勝手に取りに行かないよう、
/etc/network/interfacesを次のようにする。
$ cat /etc/network/interfaces auto lo iface lo inet loopback auto eth0
ルータで外からの80/tcpと443/tcpの行き先に
設定したIPを割り当てる。
lxcのconfigは次のようになった。
$ sudo grep -v "^$\|^#" /var/lib/lxc/$HOST/config lxc.network.type = veth lxc.network.flags = up lxc.rootfs = /var/lib/lxc/$HOST/rootfs lxc.rootfs.backend = dir lxc.include = /usr/share/lxc/config/debian.common.conf lxc.tty = 4 lxc.utsname = cert lxc.arch = amd64 lxc.network.link = br0 lxc.network.hwaddr = XX:XX:XX:XX:XX:XX lxc.network.ipv4 = $IP/$MASK lxc.network.ipv4.gateway = $ROUTER
certbotを入れておく。
何度か--dry-runで確認していたので、
certbot renew -n はあっさりできた。
/etc/letsencrypt/live/$DOMAINの下にあるもの
はシンボリックリンクだった。三ヶ月ごとに
/etc/letsencrypt/archive/$DOMAIN/下の、新しい
*.pemにリンクを張り直す実装になっている、
らしい。
ブラウザの設定画面から秘密鍵(privkey*.pem)と証明書
(fullchain*.pem...のはず)の一番新しいもの
を読み込ませる。特にエラーは表示されなかった。
...でも、PCのブラウザでアクセスして、有効になっていないことに気づく。
実は再起動が必要だった。
履歴を消して、なおかつプライベートモードのFirefoxでアクセスして
更新を確認。スマホでもアクセスして確認。
このあたりは管理画面では確認できない。
また、ファームウェアのアップデートをかけると
証明書も初期化されると
書いてあった。
マニュアルには「 SSLキーファイル(server.key、server.crt)は、 Cドライブの直下などに置いてください」と 書いてあったが、Windows以外でできないのかまでは 確認しきれていない。
というか、三ヶ月に一回Webブラウザでなんだかんだ、なんて やってられる訳がない...
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。