Legoの使い方メモ

kazu634 included in category インフラ

2019-04-14 2019-04-14 848 words 4 minutes

Contents

Legoを用いてSSL/TSL証明書を取得する方法を説明します。ここではDNS認証でSSL/TSL証明書を取得する方法を説明します。

LegoとLet’s Encrypt

Let's EncryptはSSL/TSL証明書を発行してくれるサービスです。

SSL/TSL証明書を発行するにあたり、そのドメインの所有者が本当に手続きをしているのか本人確認の手続きをします。

手続き方法には以下の方法があります。

HTTP-01認証

ドメインの所有者であれば、そのドメインにアクセスした際に表示されるコンテンツを自由にできるはずですので、それを利用した認証方式です。具体的にはLet's Encryptから送られてきたトークンを記入したファイルをウェブサーバで配信できる状態にして、Let's Encryptにそのファイル・トークンを確認してもらうことで、ドメインを所有していることを証明します。

DNS-01認証

ドメインの所有者であれば、

そのドメインのサブドメインを作成できる
作成したサブドメインのTXTレコードを自由に設定できる

はずですので、それを利用した認証方式です。Let's Encryptから送られてきたトークンをTXTレコードに指定し、それをLet's Encryptに確認してもらうことで、ドメインを所有していることを証明します。

ここまでのまとめ

LegoはコマンドラインでLet's Encryptを用いてSSL/TSL証明書を発行するツールです。DNS認証にも対応しており、各種マネージドのDNSサービスを利用することで、自動的にTXTレコードを変更して、SSL/TSL証明書を取得することができます。

おおまかな処理の流れをまとめると、以下のようになります。Legoを利用することで、煩雑な手続きをまとめて実行してくれていることがわかると思います:

この記事ではAWSのマネージドDNSサービス・Amazon Route 53を利用して、SSL/TSL証明書を取得してみます。

Legoのインストール方法

githubからダウンロードします。

ダウンロード

ファイルのダウンロードは何でも構いませんが、たとえば以下のようになるかと思います:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
kazu634@ip-10-0-1-234% wget https://github.com/go-acme/lego/releases/download/v2.4.0/lego_v2.4.0_linux_amd64.t
ar.gz
--2019-03-31 04:33:09--  https://github.com/go-acme/lego/releases/download/v2.4.0/lego_v2.4.0_linux_amd64.tar.gz
Resolving github.com (github.com)... 192.30.255.112, 192.30.255.113
Connecting to github.com (github.com)|192.30.255.112|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://github-production-release-asset-2e65be.s3.amazonaws.com/37038121/00375780-500b-11e9-89db-d849ef1f49d0?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20190331%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20190331T043309Z&X-Amz-Expires=300&X-Amz-Signature=bd866b55d7db150708b3b6a778430195ae6e82653c58cd0fa30b72c5abcd04dd&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3Dlego_v2.4.0_linux_amd64.tar.gz&response-content-type=application%2Foctet-stream [following]
--2019-03-31 04:33:10--  https://github-production-release-asset-2e65be.s3.amazonaws.com/37038121/00375780-500b-11e9-89db-d849ef1f49d0?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20190331%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20190331T043309Z&X-Amz-Expires=300&X-Amz-Signature=bd866b55d7db150708b3b6a778430195ae6e82653c58cd0fa30b72c5abcd04dd&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3Dlego_v2.4.0_linux_amd64.tar.gz&response-content-type=application%2Foctet-stream
Resolving github-production-release-asset-2e65be.s3.amazonaws.com (github-production-release-asset-2e65be.s3.amazonaws.com)... 52.216.17.224
Connecting to github-production-release-asset-2e65be.s3.amazonaws.com (github-production-release-asset-2e65be.s3.amazonaws.com)|52.216.17.224|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8597077 (8.2M) [application/octet-stream]
Saving to: ‘lego_v2.4.0_linux_amd64.tar.gz’

lego_v2.4.0_linux_amd64.tar 100%[=========================================>]   8.20M  3.81MB/s    in 2.2s

2019-03-31 04:33:12 (3.81 MB/s) - ‘lego_v2.4.0_linux_amd64.tar.gz’ saved [8597077/8597077]

解凍

解凍方法は以下のようになるかと思います:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
kazu634@ip-10-0-1-234% tar xvzf lego_v2.4.0_linux_amd64.tar.gz                                      [~/works]
CHANGELOG.md
LICENSE
lego
kazu634@ip-10-0-1-234% ll                                                                           [~/works]
total 35M
drwxr-xr-x  2 kazu634 kazu634 4.0K Mar 31 04:34 .
drwxr-xr-x 14 kazu634 kazu634 4.0K Mar 31 04:34 ..
-rw-rw-r--  1 kazu634 kazu634  18K Mar 26 19:52 CHANGELOG.md
-rwxrwxr-x  1 kazu634 kazu634  27M Mar 26 20:02 lego
-rw-rw-r--  1 kazu634 kazu634 8.2M Mar 26 20:06 lego_v2.4.0_linux_amd64.tar.gz
-rw-rw-r--  1 kazu634 kazu634 1.1K Mar 26 19:52 LICENSE

使い方

ここではLegoの使い方を説明します。

下準備

コマンドラインのヘルプはこんな感じになります:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
kazu634@ip-10-0-1-234% ./lego dnshelp
Credentials for DNS providers must be passed through environment variables.

To display the documentation for a DNS providers:

        $ lego dnshelp -c code

All DNS codes:
        acme-dns, alidns, auroradns, azure, bluecat, cloudflare, cloudns, cloudxns, conoha, designate, digitalocean, dnsimple, dnsmadeeasy, dnspod, dode, dreamhost, duckdns, dyn, exec, exoscale, fastdns, gandi, gandiv5, gcloud, glesys, godaddy, hostingde, httpreq, iij, inwx, lightsail, linode, linodev4, manual, mydnsjp, namecheap, namedotcom, netcup, nifcloud, ns1, oraclecloud, otc, ovh, pdns, rackspace, rfc2136, route53, sakuracloud, selectel, stackpath, transip, vegadns, vscale, vultr, zoneee

More information: https://go-acme.github.io/lego/dns

Amazon Route 53特有の注意事項はこちら:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
kazu634@ip-10-0-1-234% ./lego dnshelp -c route53
Configuration for Amazon Route 53.
Code: 'route53'

Credentials:
        - "AWS_ACCESS_KEY_ID":
        - "AWS_HOSTED_ZONE_ID":
        - "AWS_REGION":
        - "AWS_SECRET_ACCESS_KEY":

Additional Configuration:
        - "AWS_POLLING_INTERVAL": Time between DNS propagation check
        - "AWS_PROPAGATION_TIMEOUT": Maximum waiting time for DNS propagation
        - "AWS_TTL": The TTL of the TXT record used for the DNS challenge

ここから各種環境変数を指定して利用する必要があるとわかります:

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_HOSTED_ZONE_ID
AWS_REGION

つまりこのようなフローになります:

AWS_ACCESS_KYE_IDとAWS_SECRET_ACCESS_KEYの調べ方

後で書く

AWS_HOSTED_ZONE_IDの調べ方

Amazon Route 53でHosted Zone IDの部分を調べます:

証明書の取得

それでは証明書を取得してみます。以下のように実行することになると思います:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
kazu634@ip-10-0-1-234% export AWS_ACCESS_KEY_ID="xxxx"
kazu634@ip-10-0-1-234% export AWS_SECRET_ACCESS_KEY="yyyy"
kazu634@ip-10-0-1-234% export AWS_HOSTED_ZONE_ID="zzzz"
kazu634@ip-10-0-1-234% export AWS_REGION="ap-northeast-1"

kazu634@ip-10-0-1-234% ./lego --dns route53 --domains lego.kazu634.com --email simoom634@yahoo.co.jp run
2019/03/31 05:02:07 [INFO] [lego.kazu634.com] acme: Obtaining bundled SAN certificate
2019/03/31 05:02:08 [INFO] [lego.kazu634.com] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/kT24lTOu3gbmepIH2vWudVjaxSTi8Q2Lu1y_BGlxD1E
2019/03/31 05:02:08 [INFO] [lego.kazu634.com] acme: Could not find solver for: tls-alpn-01
2019/03/31 05:02:08 [INFO] [lego.kazu634.com] acme: Could not find solver for: http-01
2019/03/31 05:02:08 [INFO] [lego.kazu634.com] acme: use dns-01 solver
2019/03/31 05:02:08 [INFO] [lego.kazu634.com] acme: Preparing to solve DNS-01
2019/03/31 05:02:09 [INFO] Wait for route53 [timeout:2m0s, interval: 4s]
2019/03/31 05:02:42 [INFO] [lego.kazu634.com] acme: Trying to solve DNS-01
2019/03/31 05:02:42 [INFO] [lego.kazu634.com] acme: Checking DNS record propagation using [localhost:53 127.0.0.1:53]
2019/03/31 05:02:42 [INFO] Wait for propagation [timeout: 2m0s, interval: 4s]
2019/03/31 05:02:47 [INFO] [lego.kazu634.com] The server validated our request
2019/03/31 05:02:47 [INFO] [lego.kazu634.com] acme: Cleaning DNS-01 challenge
2019/03/31 05:02:47 [INFO] Wait for route53 [timeout:2m0s, interval: 4s]
2019/03/31 05:03:25 [INFO] [lego.kazu634.com] acme: Validations succeeded; requesting certificates
2019/03/31 05:03:26 [INFO] [lego.kazu634.com] Server responded with a certificate.

nginxで証明書を指定する

以下のように証明書が取得されているはずです:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
kazu634@ip-10-0-1-234% pwd
/home/kazu634/works/.lego/certificates

kazu634@ip-10-0-1-234% ll
total 28K
drwxr-xr-x 2 kazu634 kazu634 4.0K Mar 31 05:50 .
drwxr-xr-x 4 kazu634 kazu634 4.0K Mar 31 04:59 ..
-rwxr-xr-x 1 root    root    3.3K Mar 31 05:14 lego.kazu634.com.crt
-rwxr-xr-x 1 kazu634 kazu634 1.7K Mar 31 05:14 lego.kazu634.com.issuer.crt
-rwxr-xr-x 1 kazu634 kazu634  237 Mar 31 05:14 lego.kazu634.com.json
-rwxr-xr-x 1 root    root     288 Mar 31 05:14 lego.kazu634.com.key

この場合、nginxには以下のように指定します:

1
2
    ssl_certificate     /home/kazu634/works/.lego/certificates/lego.kazu634.com.crt;
    ssl_certificate_key /home/kazu634/works/.lego/certificates/lego.kazu634.com.key;

IISで利用する場合

LegoではうまくIISに登録できないことがわかったため、WindowsサーバのIISにLet’s Encryptで取得したワイルドカードSSL証明書をインポートするを参照してください。

ワイルドカード証明書が必要な場合

Amazon Route 53側で以下のようにレコードを作成する:

その後は通常通り、コマンドを実行します:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
kazu634@ip-10-0-1-234% ./lego --dns route53 --domains "*.kazu634.com" --email simoom634@yahoo.co.jp run
2019/03/31 06:26:23 [INFO] [*.kazu634.com] acme: Obtaining bundled SAN certificate
2019/03/31 06:26:23 [INFO] [*.kazu634.com] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/FSIRwOjEhpS6H5U0hV2OT-s1ez8qRlHFNmLZ3-0PNw8
2019/03/31 06:26:23 [INFO] [*.kazu634.com] acme: use dns-01 solver
2019/03/31 06:26:23 [INFO] [*.kazu634.com] acme: Preparing to solve DNS-01
2019/03/31 06:26:24 [INFO] Wait for route53 [timeout: 2m0s, interval: 4s]
2019/03/31 06:27:02 [INFO] [*.kazu634.com] acme: Trying to solve DNS-01
2019/03/31 06:27:02 [INFO] [*.kazu634.com] acme: Checking DNS record propagation using [localhost:53 127.0.0.1:53]
2019/03/31 06:27:02 [INFO] Wait for propagation [timeout: 2m0s, interval: 4s]
2019/03/31 06:27:06 [INFO] [*.kazu634.com] The server validated our request
2019/03/31 06:27:06 [INFO] [*.kazu634.com] acme: Cleaning DNS-01 challenge
2019/03/31 06:27:07 [INFO] Wait for route53 [timeout: 2m0s, interval: 4s]
2019/03/31 06:29:04 [INFO] [*.kazu634.com] acme: Obtaining bundled SAN certificate
2019/03/31 06:29:05 [INFO] [*.kazu634.com] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz/FSIRwOjEhp2019/03/31 06:29:06 [INFO] [*.kazu634.com] Server responded with a certificate.