Apache2 : mod_md の設定2023/07/04

[mod_md] をインストールして、Let's Encrypt から取得する SSL/TLS 証明書の取得/更新を自動化します。

設定をしたい対象のバーチャルホストごとに設定可能です。
なお、[mod_md] を設定するバーチャルホストは、こちらの SSL/TLS の手動設定は不要です。

また、Let's Encrypt から手動で取得する際と同様、設定をしたい対象のサイトは、インターネット側からアクセス可能である必要があります。

[1]

[mod_md] をインストールします。

root@www:~#

apt -y install libapache2-mod-md

[2]	[mod_md] の設定です。

root@www:~#

vi /etc/apache2/conf-available/acme.conf

# 新規作成

MDBaseServer              on
MDCertificateProtocol     ACME
MDCAChallenges            http-01
MDDriveMode               auto
MDPrivateKeys             RSA 2048
MDRenewWindow             33%
MDStoreDir                md
MDCertificateAuthority    https://acme-v02.api.letsencrypt.org/directory
MDCertificateAgreement    https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf

<Location "/md-status">
    SetHandler md-status
    Require ip 127.0.0.1 10.0.0.0/24
</Location>

# [MDRenewWindow]
# 証明書を更新するタイミングを指定する
# 指定しない場合のデフォルトは [33%]
# Let's Encrypt の有効期限 = 90日
# 90日 * 33% ≒ 30日 ⇒ 残り 30日で更新される
# 日数で指定する場合の記号は [d]
# 30日 ⇒ [30d]

# [MDStoreDir]
# 証明書等の各種データの保存ディレクトリ
# 指定しない場合のデフォルトは [md]
# [ServerRoot] からの相対パス

# [md-status]
# MD の状態をモニタリングする

[3]	対象のバーチャルホストごとに設定します。各 [ServerAdmin] には Let's Encrypt からの各種通知を受け取ることが可能な、有効なメールアドレスを指定する必要があります。

# 例として [rx-9.srv.world] サイトに設定

root@www:~#

vi /etc/apache2/sites-available/rx-9.srv.world.conf

MDomain rx-9.srv.world
MDCertificateAgreement accepted
DirectoryIndex index.html
ServerAdmin root@rx-9.srv.world

<VirtualHost *:80>
    DocumentRoot /var/www/rx-9
    ServerName rx-9.srv.world
</VirtualHost>

<VirtualHost *:443>
    SSLEngine on
    DocumentRoot /var/www/rx-9
    ServerName rx-9.srv.world
</VirtualHost>

root@www:~#

a2enmod md

Enabling module md.
To activate the new configuration, you need to run:
  systemctl restart apache2

root@www:~#

a2enconf acme

Enabling conf acme.
To activate the new configuration, you need to run:
  systemctl reload apache2

root@www:~#

a2ensite rx-9.srv.world

Enabling site rx-9.srv.world.
To activate the new configuration, you need to run:
  systemctl reload apache2

root@www:~#

systemctl restart apache2

# 初回読み込み時は各設定のチェックが実行され
# [MDStoreDir] に設定したディレクトリ内に起動のためのダミー証明書が作成される

root@www:~#

ll /etc/apache2/md/domains/rx-9.srv.world

total 12
-rw------- 1 root root 1700 Jul  3 20:00 fallback-privkey.pem
-rw------- 1 root root 1168 Jul  3 20:00 fallback-pubcert.pem
-rw------- 1 root root  596 Jul  3 20:00 md.json

# リロード

root@www:~#

systemctl reload apache2

# 問題なければ正規の証明書が取得される

root@www:~#

ll /etc/apache2/md/domains/rx-9.srv.world

total 24
-rw------- 1 root root 4895 Jul  3 20:01 job.json
-rw------- 1 root root  654 Jul  3 20:01 md.json
-rw------- 1 root root 1704 Jul  3 20:01 privkey.pem
-rw------- 1 root root 5510 Jul  3 20:01 pubcert.pem

[4]	有効期限等々、証明書の確認は [openssl] コマンドで実施可能です。または、[2] で設定した [md-status] にアクセスすることでも確認できます。

root@www:~#

openssl s_client -connect rx-9.srv.world:443 | openssl x509 -noout -startdate -enddate

depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = rx-9.srv.world
verify return:1
notBefore=Jul  4 00:01:02 2023 GMT
notAfter=Oct  2 00:01:01 2023 GMT