質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.99%

【Let's Encrypt】複数サイトを管理しているサーバーに、その数だけ証明書を入れたい

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,963

nnahito

score 1837

 はじめに

若葉マークのとおり、初心者です。
IISに関しても、Let's Encryptについても初心者です。

 質問概要

IIS10で管理する、全く異なるドメインのWebサイトそれぞれにLet's Encryptの証明証を適応したい。

 質問

No-IPを使って3つの異なるドメインを取得しています。

例1:○○○.zapto.org
例2:△△△.zapto.org
例3:□□□.zapto.org

それぞれをIIS10をつかって、一つのサーバPCの中で管理しております。
以下、構成

[public_html]
└[○○○]
└[△△△]
└[□□□]

この状態で、それぞれのサイト(○○○、△△△、□□□)に対し証明証を適応したいと考えていますが、

  • letsencrypt.exe --accepttos --manualhost ○○○.zapto.org --webroot D:\public_html\○○○\
  • letsencrypt.exe --accepttos --manualhost △△△.zapto.org --webroot D:\public_html\△△△\
  • letsencrypt.exe --accepttos --manualhost □□□.zapto.org --webroot D:\public_html\□□□\

のように、3回に分けて証明証を取得すると、
一番最後(上記の場合、□□□だけ)のものだけが適応され、
残り2つ(上記の例では、○○○と△△△)は「安全な接続ではありません」とブラウザで表示されます。

なので、「まとめて取得するのか?」と思い、

letsencrypt.exe --accepttos --manualhost ○○○.zapto.org △△△.zapto.org □□□.zapto.org --webroot D:\public_html

としてみましたが、同じ結果となってしまいました。

これはどのようにして、複数のドメインに対し証明証を取得するのでしょうか。
ご存じの方がいらっしゃいましたら、ご教授いただけますと幸いです。

なお、この質問は、
Let's Encryptで複数の鍵を作りたい
と、同一のものになりますが、回答者がいらっしゃらずまだ困っているために再度質問させていただいております。
ご容赦ください。

 追記

letsencrypt.exe --sanを実行した結果

イメージ説明

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+1

Let's Encryptの問題ではなく、IISのサイトバインド設定の問題ではないでしょうか。

過去の質問のサイトバインド設定の画像を見ましたが、SNI(IP・ポートは同じでもホスト名で指定できる)を利用する場合には「サーバー名表示を要求する」を選択する必要があります。
1台のWebサーバに複数のSSLサーバー証明書をバインドしたいです。

一番最後(上記の場合、□□□だけ)のものだけが適応され、
残り2つ(上記の例では、○○○と△△△)は「安全な接続ではありません」とブラウザで表示されます。 

もし「サーバー名表示を要求する」を選択しない場合は、重複するバインドを追加しても、前に設定したサイトも新しく選択した証明書を参照するようになります。
そのため、一番最後のものだけが利用できたのだと思います。
(サイトバインド追加の確認ダイアログボックスを見る限りですが。)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/12 02:00 編集

    ご回答ありがとうございます。

    ご指摘の通り「サーバー名表示を要求する」にチェックを入れたところ、問題なく動作しました。
    こちらは何故このような挙動になるのでしょうか?
    頂いたURL先の

    「そもそもSSLの仕組みでは、通信内容を暗号解除してみないと、どのバーチャルホストへのリクエストなのかが判明しないため、そうした運用は無理である」

    というところでしょうか?

    また、証明書の取得で、shika358様がおっしゃられているSANと、ひとつずつ取得の違いはあるのでしょうか?

    キャンセル

  • 2017/07/12 07:05

    問題無く動作してよかったです。

    「サーバー名表示を要求する」にチェックを入れるということは、つまりSNI(Server Name Indication)による通信を行うということです。
    SNIで何が嬉しいのかというと、1つのIPアドレスで複数のドメインのSSL証明書を扱えるようになることです。
    SNIでは、従来の仕組みを拡張して、ハンドシェイクでアクセスしたいドメイン名を指定できるようになっています。

    あと、ここでは詳しく触れませんが、ワイルドカードSSLというものもあります。
    これがあれば複数のサブドメインでも、1つの証明書で利用できるようになります。
    Let's Encryptでも2018年1月に対応するそうです。

    SNIとワイルドカードSSLについて調べておくといいですよ。

    SANについては正直あまりよく知らないのですが、メリットとしては次のようなことがあると思います。
    1. 複数のSSL証明書を有料で導入する場合、1つにまとめた方が安上がりになる
    2. まとめることで管理が楽になる(更新手続きなど)

    ただ、SNIが広まったことや、Let's Encryptのような無料のサービスが出たことから、SANを利用する1.のメリットがなくなってきたように思えます。
    また、上記2. の管理の面でも、もはやメリットではないのかもしれません。
    Let's Encryptではcronによる自動更新の設定も簡単で、ワイルドカードSSLも半年後には利用可能になるそうですし。

    キャンセル

  • 2017/07/13 15:50

    ご返信ありがとうございます。

    なるほど、SNIと言うものがないと、1つのIPアドレスで複数のドメインSSLが使えないということですね。
    つまりIPv6だと、SNIがなくてもできるということになりそうな予感。

    > ワイルドカードSSLというものもあります。
    > これがあれば複数のサブドメインでも、1つの証明書で利用できるようになります

    これは調べていて、名前だけよく見ました……
    設定の仕方がわからなかったので、スルーしましたが……(名前の紹介だけで、コマンドとかの例ももっとほしい

    > ただ、SNIが広まったことや、Let's Encryptのような無料のサービスが出たことから、SANを利用する1.のメリットがなくなってきたように思えます。

    なるほど……
    そういう背景があったのですね……

    > Let's Encryptではcronによる自動更新の設定も簡単で、ワイルドカードSSLも半年後には利用可能になるそうですし。

    IISの対応が楽しみです。
    またそのときに使えるように勉強します!

    キャンセル

+1

https://github.com/Lone-Coder/letsencrypt-win-simple/wiki/Create-a-SAN-certificate

多分ここら辺ですね。
試してみてないのでなんとも言えないですけど、
let’s encrypt自体はSANに対応しているみたいなので大丈夫ではないですかね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/12 01:55

    ご回答ありがとうございます。
    SAN……と言うものがよくわかりませんでしたが、ひとまず実行してみたところ「 追記」のようなエラーが出て止まってしまいました……

    ここで言う「インデックス」や「コレクション」とはどういったものなのでしょうか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.99%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる