
Ubuntu 20.04でLet’s Encryptを使用してApacheを保護する方法

Published on October 26, 2020

Developer Advocate

Let’s Encryptは、無料のTLS /SSL証明書の取得ならびにインストール、またWebサーバーでのHTTPS暗号化の有効を円滑にする認証局(CA)です。必要な手順のほとんど(すべてではないにしても)の自動化を試みるソフトウェアクライアントCertbotを提供することにより、プロセスを簡素化します。 現在、証明書の取得とインストールのプロセス全体は、ApacheとNginxの両方で完全に自動化されています。

このチュートリアルでは、Certbotを使用してUbuntu 20.04にインストールされたApacheに無料のSSL証明書を取得し、証明書が自動更新されるように設定します。

このチュートリアルでは、Apacheのデフォルト設定ファイルの代わりに、個別の仮想ホストファイルを使用して、Let’s Encryptで保護するWebサイトをセットアップします。 アドバイス:各ドメインに新しいApache仮想ホストファイルを作成すると、よくある間違いを回避しデフォルトファイルをフォールバック設定として維持するのに役立ちます。



  • Ubuntu 20.04初期サーバーセットアップチュートリアルに従ってセットアップされたUbuntu 20.04サーバー1台、sudo権限を持つroot以外のユーザーおよびファイアウォール。

  • 完全に登録されたドメイン名。このチュートリアルでは、例としてyour_domainを使用します。Namecheapからドメイン名を購入またはFreenomから無料で取得するか、あるいはお好みのドメインレジストラーを使用できます。

  • 次の2つのDNSレコードがサーバーにセットアップされています。 これらの追加方法は、DigitalOcean DNSの紹介をご覧ください。

    • サーバーのパブリックIPアドレスを指すyour_domainを持つAレコード。
    • サーバーのパブリックIPアドレスを指すwww.your_domainを持つAレコード。
  • Ubuntu 20.04にApacheをインストールする方法に従ってインストールされたApache。ドメイン用に仮想ホストファイルがあることを確認してください。このチュートリアルでは、例として/etc/apache2/sites-available/your_domain.confを使用します。

ステップ1— Cerbotのインストール

Let’s Encryptを使用してSSL証明書を取得するには、まずサーバーにCertbotソフトウェアをインストールします。ここではデフォルトのUbuntuパッケージリポジトリを使用します。


  1. sudo apt install certbot python3-certbot-apache



ステップ2 — Apache仮想ホスト設定の確認


Apacheインストールチュートリアル ー 仮想ホストの設定に従った場合、ドメインのVirtualHostブロックは/etc/apache2/sites-available /your_domain.confにセットアップされているはずです。また、ServerNameとServerAliasディレクティブも適切に設定されているはずです。


  1. sudo nano /etc/apache2/sites-available/your_domain.conf


ServerName your_domain
ServerAlias www.your_domain

ServerNameServerAliasがこのようにセットアップされている場合は、テキストエディターを終了して、次の手順に進みます。  nanoを使用した場合は、CTRL + X、YENTERキーを押し、終了します。


  1. sudo apache2ctl configtest

Syntax OKが返ってきます。 エラーが発生した場合は、サーバーブロックファイルを再度開いて、入力ミスや文字の欠落を確認してください。設定ファイルの構文が正しければ、Apacheをリロードして変更を有効にします。

  1. sudo systemctl reload apache2



ステップ3 — ファイアウォールを介したHTTPSの許可

前提条件ガイドで推奨されているように、ufwファイアウォールを有効にした場合、HTTPSトラフィックを許可するように設定を調整する必要があります。インストール時に、ApacheはUFWアプリケーションプロファイルをいくつか登録します。 Apache Fullプロファイルを活用して、HTTPとHTTPSの両トラフィックをサーバーに許可できます。


  1. sudo ufw status


Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere Apache ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Apache (v6) ALLOW Anywhere (v6)

HTTPSトラフィックも許可する場合は、「Apache Full」プロファイルを許可し、重複する「Apache」プロファイルを削除します。

  1. sudo ufw allow 'Apache Full'
  2. sudo ufw delete allow 'Apache'


  1. sudo ufw status
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere Apache Full ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Apache Full (v6) ALLOW Anywhere (v6)


ステップ4 — SSL証明書の取得


  1. sudo certbot --apache

このスクリプトは、SSL証明書を設定するために、一連の質問に答えるよう求められます。まず、有効なメールアドレスを求められます。  このメールアドレスは、更新通知とセキュリティ通知に使用されます。

Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator apache, Installer apache Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): you@your_domain


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

次に、Electronic Frontier Foundation (電子フロンティア財団)にメールアドレスを知らせてニュース等の情報を受け取るかを尋ねられます。受け取らない場合は、Nキーを押します。それ以外はYENTERキーを押して、次のステップに進みます。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N

次のステップでは、HTTPSをアクティブにしたいドメインをCertbotに通知するかを尋ねられます。ドメイン名の一覧がApache仮想ホスト設定から自動取得されるので、ServerNameServerAliasが仮想ホストで正しく設定されているか確認することが重要です。一覧にある全ドメイン名のHTTPSを有効にする (推奨)場合、プロンプトには何も入力せずENTERキーを押して次へ進みます。 それ以外の場合は、 HTTPSを有効にしたいドメインの番号を、コンマおよび/またはスペースで区切りながら列挙して選択し、ENTERキーを押します。

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: your_domain
2: www.your_domain
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):


Obtaining a new certificate
Performing the following challenges:
http-01 challenge for your_domain
http-01 challenge for www.your_domain
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/your_domain-le-ssl.conf
Enabled Apache socache_shmcb module
Enabled Apache ssl module
Deploying Certificate to VirtualHost /etc/apache2/sites-available/your_domain-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/your_domain-le-ssl.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-available/your_domain-le-ssl.conf


Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://your_domain and

You should test your configuration at:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 - Congratulations! Your certificate and chain have been saved at:
   Your key file has been saved at:
   Your cert will expire on 2020-07-27. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

証明書がインストールされ、 Apacheの設定にロードされます。https://を使用してウェブサイトをリロードしてみて、ブラウザのセキュリティインジケータに注目してください。アドレスバーのロックアイコンなどで、サイトが適切に保護されていることが示されるはずです。

SSL Labs Server Testを使用すれば、証明書のグレードと詳細情報を外部サービスの観点から確認できます。


ステップ5 — Certbotの自動更新の検証

Let’s Encryptの証明書は90日間のみ有効です。これは、誤用された証明書や盗まれたキーがほどなく期限切れになるように、ユーザーが証明書更新プロセスを自動化するよう奨励するためです。

インストールされたcertbotパッケージは、certbot.timerというsystemctlサービスによって管理されている/etc/cron.dの中に更新スクリプトを置くことにより、更新処理を行います。 このスクリプトは、1日に2回実行され、有効期限の30日以内にある証明書を自動更新します。


  1. sudo systemctl status certbot.timer


● certbot.timer - Run certbot twice daily Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled) Active: active (waiting) since Tue 2020-04-28 17:57:48 UTC; 17h ago Trigger: Wed 2020-04-29 23:50:31 UTC; 12h left Triggers: ● certbot.service Apr 28 17:57:48 fine-turtle systemd[1]: Started Run certbot twice daily.


  1. sudo certbot renew --dry-run

エラーが表示されなければ、設定は完了です。 必要に応じて、Certbotは証明書を更新し、Apacheをリロードして変更を反映します。自動更新プロセスが失敗した場合、Let’s Encryptは指定したメールアドレスにメッセージを送信し、証明書の有効期限が近づいていることを警告します。


このチュートリアルでは、Let’s Encryptクライアントcertbotのインストール、SSL証明書の設定またインストールをドメインにおこないました。さらにCertbotの自動更新サービスがsystemctl内で有効になっていることも確認しました。Certbotの使用についてさらに知りたい場合は、公式ドキュメントから始めるとよいでしょう。

