FreeBSDでacme-clientを利用してLet's Encryptの証明書取得を行うことを考えた。ので、ちょっと調べたメモ
Let's Encryptは、公共の利益を図る目的で Internet Security Research Group (ISRG) が運営する、無料で利用でき、自動化されていて、オープンな認証局。
Let's Encryptの基本方針
(以上、About - Let's Encrypt - Free SSL/TLS Certificatesより抜粋)
実際に利用するレベルから見ると、
というサービスを提供してくれるサイト及びサービスである。
日本語訳のサイトがあるので、是非一度見て見ることを勧める。Let's Encrypt 総合ポータル
Let's EncryptはDV証明書を発行するにあたって、ACME(Automatic Certificate Management Environment)を使用する。 このACMEは2017/02/03現在、draft-ietf-acme-acme-04として公開されており、将来RFCになることが期待されている。
このACMEを利用した証明書取得のためのツールは様々あるが、Let's Encryptを利用するにあたっては、Let's Encryptが公開しているcertbotを利用するのが最も簡単であると思われる。
様々な実装のリストもLet's Encryptが公開している。https://letsencrypt.org/docs/client-options/
acme-clientのManual Pageから抄訳
証明書取得の流れは以下の通り。
証明書失効の流れも同様。
ACMEにおけるChallengeとは、要するに「存在確認」を意味する。この存在確認方法として以下の3つがIDに定義されている。