【Azure】ubuntu18.04에서 Let'sEncrypt로 SSL 증명을 적용

AzureVM의 ubuntu18.04에서 Let’sEncrypt를 사용하여 SSL을 설정할 때까지 정리했습니다.

전제 조건


  • AzureVM을 사용하여 ubuntu18.04를 시작하여 SSH 로그인할 수 있습니다.
  • http로 지정된 도메인에 액세스 할 수 있습니다
  • Apache2 설치됨
  • $ apache2  -version
    Server version: Apache/2.4.29 (Ubuntu)
    Server built:   2019-09-16T12:58:48
    

    1. Azure 포트 개방



    가상 머신 설정 > 네트워크에서 HTTP 포트 80번과 HTTPS 포트 443번을 개방한다.
    추가 할 때 수신 포트 규칙 추가에서 추가 할 수 있습니다.


    2. Let's Encrypt로 인증서 발급


    sudo apt install certbot
    

    설치가 끝나면 certbot 실행
    여기서는 도메인 이름을 hogehoge.com 이메일 주소를 [email protected]메일 주소는 입력하지 않아도 되지만, Let’sEncrypt로부터 만료 등의 메일을 수신할 수 있으므로, 입력해 두는 것이 좋다.
    certbot certonly --webroot --webroot-path /var/www/html/ -d hogehoge.com -m [email protected]
    

    이 후에 규약에 동의하는지 등의 질문에 답한다.
    기본 "Y"로 대답하면 OK

    그 후 Congratulations! 와 나오면 성공
    IMPORTANT NOTES:
     - Congratulations! Your certificate and chain have been saved at
       /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem. Your cert
       will expire on 2019-12-18. To obtain a new or tweaked version of
       this certificate in the future, simply run certbot-auto again. To
       non-interactively renew *all* of your certificates, run
       "certbot-auto renew"
     - If you lose your account credentials, you can recover through
       e-mails sent to [email protected].
     - Your account credentials have been saved in your Certbot
       configuration directory at /etc/letsencrypt. You should make a
       secure backup of this folder now. This configuration directory will
       also contain certificates and private keys obtained by Certbot so
       making regular backups of this folder is ideal.
     - If you like Certbot, please consider supporting our work by:
    
       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
       Donating to EFF:                    https://eff.org/donate-le
    
    

    인증서가 생성되었는지 확인하려면 다음 명령
    $ ls /etc/letsencrypt/live/hogehoge.com/
    cert.pem  chain.pem  fullchain.pem  privkey.pem  README
    

    3. Apache 설정 변경



    Apache의 ssl 구성 파일 편집
    $ vim /etc/apache2/sites-available/default-ssl.conf
    

    vim에서 설정 파일을 열면 아래의 해당 부분을 변경합니다.
    변경할 때는 만약을 위해, 카피해 백업을 취하는지, 코멘트 아웃 해 남겨 두는 편이 만일일 때 살아난다. (설정 실수로 액세스 할 수 없게 된 경험 있음)
    ServerAdmin [email protected] ←変更
    DocumentRoot /var/www/html
    ServerName hogehoge.com ←変更
    SSLCertificateFile      /etc/letsencrypt/live/hogehoge.com/cert.pem ←変更
    SSLCertificateKeyFile   /etc/letsencrypt/live/hogehoge.com/privkey.pem ←変更
    SSLCertificateChainFile /etc/letsencrypt/live/hogehoge.com/chain.pem ←変更
    

    내 환경에서는 Server Name가 처음부터 작성되지 않았기 때문에 직접 작성했습니다.

    그런 다음 Apache를 다시 시작하면 HTTPS로 연결할 수 있습니다.
    service apache2 restart
    

    작동하지 않을 때



    수수께끼의 오류로 작동하지 않을 때 관리자 모드로 작업하면 잘 작동했습니다.
    sudo su -
    

    에서 루트 권한으로 위의 단계를 시도해보십시오.

    Let’sEncrypt는 3개월 만에 만료되므로 자동 업데이트와 HTTPS로의 리디렉션 설정은 다음에 수행됩니다.

    좋은 웹페이지 즐겨찾기