Let’s EncryptによるSSLの設定(DirectAdmin)

■はじめに

一部のDirectAdminインストールサーバでは、Let’s Encryptによる無料SSLをご利用いただけます。
共用SSLではなく、お客様自身のドメインによるSSLです

■対象

以下のDirectAdminサーバでご利用いただくことができます。

  • LDプランで、DirectAdmin URLが以下で始まるお客様
      https://da63.willnet.ad.jp
      https://da64.willnet.ad.jp
      https://da65.willnet.ad.jp
      https://da66.willnet.ad.jp
  • VPS、クラウドサーバ、専用サーバで、以下の条件を満たすサーバ
    1. DirectAdminがインストールされている。
    2. DirectAdminでLet’s,Encryptが有効にされている。

■Let’s Encryptについて

Eコマースには有償のサーバ証明書をお勧めします

Let’s Encryptは無償かつ簡単な設定で利用できることが大きなメリットですが、半面「誰でもSSLを利用できる」ことから、詐欺など悪意のあるWebサイトが、Let’s EncryptでSSL化して一見安全なサイトに見せかけてしまう事例も報告されています。

社内利用など限られたユーザだけが利用するWebサイトや、とりあえず常時SSL化を達成したい場合などにはLet’s Encryptはおすすめできますが、Eコマースや個人情報入力を求めるページがあるWebサイトでは、利用者の安心と信頼を得られるように、実在確認審査がしっかりした、有償のSSL証明書をお勧めします。

1.Let’s Encryptとは

Let’s EncryptはSSLサーバ証明書認証局(CA)の一つです。非営利団体ISRG (Internet Security Research Group) が運営しており、シスコシステムズ、アカマイ、EFF、モジラ財団などの大手企業・団体がLet’s Encrypt を支援しています。

2.特徴(他のサーバ証明書との利用方法の違い)

無料。ドメインを所持し、そのドメインのサーバの管理権限を有している人であれば、誰でも無料で証明書を取得できます。商用利用ももちろん可能です(Eコマースに利用するのであれば有料のSSL証明書をお勧めします)

運用の自動化。専用のエージェントプログラムをサーバにインストールし、サーバ証明書の発行申請・審査、発行された証明書のWEBサーバへの設定、証明書更新といった、SSL利用上の手続きや設定作業が、少ない手順で簡単に行えるようになっています。

オープンな技術の採用。証明書の自動発行・更新に使われるACMEプロトコルは、公開されています。

3.審査(認証)について

Let’s Encryptは「ドメイン認証」です。以下の手続きを行い、WEBサイトが確かに存在し、申請者がそのWEBサイトの管理権限を有することを確認します。

  1. 認証局から指定された名前のファイルをWEBスペースに設置
  2. 認証局は、指定したファイルにHTTPまたはHTTPSでアクセスしてファイルの存在を確認
  3. ファイルの存在が確認できれば認証完了

認証の手続きも自動的に行われますので、認証ファイルの設置について意識することはありません。

4.有効期限と更新について

Let’s Encryptサーバ証明書の有効期限は3ヶ月です。期限が近づくと自動的に更新されます。ほとんどの場合、一度証明書を設定すれば、以後はほとんど手がかかりません。

5.互換性について

Let’s Encryptは比較的新しい証明書ですが、ルート証明書はほとんどのモダンブラウザにインストールされています。

DirectAdminコントロールパネルから簡単に設定できます。CSRの作成、認証局への発行申請、審査対応、発行されたサーバ証明書のインストールすべて自動的に行われます。

設定した証明書は、もちろん自動更新されます。

※そのドメイン名でWEBサイトにアクセスできるよう、あらかじめDNSが設定されていなければなりません。
他から移転してくる場合も、いったん非SSLで移転が完了してから設定してください。

※ドキュメントルート直下の「.well-known」ディレクトリ・フォルダを、ドメイン認証の際に利用します。「.well-known」ディレクトリ・フォルダはアクセスを制限しないようにしてください。

このディレクトリ・フォルダは最初は存在しません。必要な時に自動作成されます。認証後は削除しても問題ありません(次の更新時に再作成されます)。

※SNI SSLとなります。共用IPアドレスでWEBサイトを公開します。専用IPアドレスは必要ありません。逆に、専用IPアドレスを設定してはいけません。

※発行手続きのやり直しも可能ですが、同じ証明書を繰り返し発行できるのは週5回までに制限されています。

■SSLの設定方法

(共用サーバ以外)あらかじめ、設定するドメインのDAユーザのスキンをenhancedスキンに、言語を「ja」に変更しておきます。

1.DirectAdminコントロールパネルにログイン

2.右メニュー「ユーザーページ」をクリック。
 

複数のドメインを扱っている場合はドメイン一覧が表示されます。設定対象のドメインを選んでください。

3.Your Accountのドメイン設定をクリックしてください。


SSL設定をした場合に表示するフォルダ設定を変更します。
現在使用しているフォルダをSSL化をした後でも使う場合、図の通り(1)を選んで「保存」ボタンをクリックしてください。


4.「2」の画面に戻って「Advanced Features」の「SSL証明書」をクリックします。

5.左端のラジオボタンで上から2番目を選択。次に「無料&自動証明書 Let’s Encrypt」を選択します。

6.以下を入力

コモンネームドメイン名
E-Mail通知メールの送信先
有効期限が近付いたなど、Let’s Encryptからの通知が送られます。
キーサイズ(ビット)秘密鍵の長さ、4096ビット推奨
証明書タイプ署名アルゴリズム。SHA256推奨
Let’s Envrypt Certificate Entries証明書に追加するドメインにチェックを入れます。
最大20個まで。
メインのドメイン名は含める必要があります。

※コモンネームおよび「Let’s Encrypt Certificate Entries」には、実際にURLに使用するドメイン名を指定して下さい。「https://www.example.com」でアクセスしてもらうには「www.example.com」が含まれていなればなりません。

また、DirectAdminで設定できるのはWEBサイトのみになります。「mail」や「pop」など、メールに関係するサブドメインを選択しても、メール送受信が暗号化されるわけではありません。「ftp」サブドメインを暗号化してもFTPが暗号化されるわけではありません(LDプランでは、お客様が設定しなくても、メールはSSL対応です)。

7.「保存」をクリック


少し時間がかかります。SSLサーバ証明書のインストールとWEBサイトのSSL設定が完了します。

エラーが出る場合、DNSに登録していないサーバーが存在する可能性があります。設定を見直してください。

ページ上部へ戻る