Let's Encrypt 設定を管理する
Plesk Let's Encrypt 拡張の動作は、以下のような各種設定によって制御されます。
これらの設定は、panel.ini 構成ファイルの [ext-letsencrypt] セクションにカスタム値を指定して変更できます。たとえば、Let's Encrypt の証明書を有効期限の 45 日前に更新し、RSA 秘密キーのサイズを 4096 ビットにしたい場合、panel.ini ファイルに以下の行を追加します。
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Let's Encrypt の無料 SSL/TLS 証明書でウェブサイトのセキュリティを維持する
Let’s Encrypt 拡張では、ホストされるウェブサイトを、Let’s Encrypt の提供する信頼性の高い無料の SSL/TLS 証明書で自動的に保護することができます。各ホスティングプランに対し、この機能のオン/オフを個別に切り替えることができます。特定のホスティングプランに対してこの機能をオフに切り替えると、このホスティングプランをベースにする契約に属する各ドメイン、サブドメイン、ドメインエイリアス、ウェブメールが以下のいずれかを満たす場合、
- 自己署名 SSL/TLS 証明書で保護されている
- 期限切れの SSL/TLS 証明書で保護されている
- SSL/TLS 証明書で保護されていない
自己署名 SSL/TLS 証明書または期限切れの SSL/TLS 証明書が Let’s Encrypt 証明書に置き換えられます。
また、自己署名 SSL/TLS 証明書または期限切れの SSL/TLS 証明書に加え、信頼できる認証局から発行されたものではない SSL/TLS 証明書も Let’s Encrypt 拡張によって置き換えることができます。これには、check-domain-cert-authority 設定を true に設定します。詳細は「Let's Encrypt 設定リスト」で check-domain-cert-authority 設定について確認してください。
Let's Encrypt の無料 SSL/TLS 証明書でウェブサイトのセキュリティを維持するには:
- [サービスプラン]に移動します。
- [ホスティングプラン]タブで、[プランを追加]をクリックして新しいプランを作成するか、既存のプランの名前をクリックして編集します。
- [追加サービス]タブを開きます。
- [SSL It!]の下で[無料の SSL 証明書によるウェブサイトの保護を維持]をオンにします。
- [OK]をクリックします。
これで、このホスティングプランをベースにする契約に属するすべてのドメイン、サブドメイン、ドメインエイリアス、ウェブメールが Let’s Encrypt 証明書で自動的に保護されるようになります。この変更は、既存の契約と新規作成される契約の両方に影響を与えます。
あるいは、以下のリクエストを送信することで、XML API 経由で[無料の SSL 証明書によるウェブサイトの保護を維持]オプションを有効にすることもできます。
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Let's Encrypt 設定リスト
panel.ini で指定できる Let's Encrypt の全設定のリストは以下のとおりです。
| 設定 | タイプ | 説明 | デフォルト値 |
|---|---|---|---|
rsa-key-size |
integer | RSA 秘密キーのサイズ(ビット) | 2048 |
user-agent |
string | User-Agent HTTP ヘッダ | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
string | Let's Encrypt のウェブサイト URL | https://letsencrypt.org/ |
terms-url |
string | Let's Encrypt ポリシーおよびリーガルリポジトリの URL | https://letsencrypt.org/repository/ |
|
(非推奨) |
integer |
証明書の自動更新がスケジュールされている期限切れまでの日数 SSL It! 拡張にも同じ設定を使用できます。この場合、SSL It! の設定の方が Let's Encrypt の設定より優先されます。 現在、この設定はまだサポートされていますが、将来的に Let's Encrypt で廃止される予定です。 |
30 |
config-dir |
string | サードパーティ統合用の証明書が格納される場所 | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
verify |
string | 信頼できる CA ルート証明書バンドルのパス | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
boolean | ドメイン紛争の解決後のトークファイルのクリーンアップを無効にします。 | false |
log-requests |
boolean | ACME サーバへのリクエストを Plesk ログに記録します。 | false |
secure-new-domain |
boolean | 新しい契約、ドメイン、サブドメインを作成するときに表示される[Let's Encrypt でドメインを保護]チェックボックスのデフォルト状態を設定します。 | false |
letsencrypt-docs-rate-limits-url |
string | 「レート制限」に関する Let's Encrypt ドキュメントへの URL。このリンクは、Let's Encrypt のレート制限に達すると、拡張の GUI エラーメッセージに表示されます。 | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
integer | * ドメインに HTTP 経由でアクセスする場合の試行間の待機時間(秒) | 5 |
check-availability-max-attempts |
integer | * ドメインに HTTP 経由でアクセスする場合の最大試行回数 | 10 |
check-availability-timeout |
integer | * ドメインに HTTP 経由でアクセスする場合のチェックのタイムアウト時間(秒)。check-availability-timeout に定義された時間内に応答コードが受信されない場合、ドメインは使用不可とみなされます。 | 5 |
check-domain-cert-authority |
boolean | [無料の SSL 証明書によるウェブサイトの保護を維持]オプションが有効で、この設定を「false」に設定した場合、Let’s Encrypt 拡張は自己署名 SSL/TLS 証明書と期限切れの SSL/TLS 証明書のみを置き換えます。「true」に設定すると、信頼できる CA ルート証明書バンドル内にあるルート証明書によって信頼されていない SSL/TLS 証明書も置き換えられます(verify 設定を参照してください)。 |
false |
send-notifications-interval |
date interval | Let’s Encrypt 拡張が通知を送信する頻度(たとえば、Let’s Encrypt 証明書で保護されているドメインに関する通知、Let’s Encrypt 証明書の更新に関する通知)。デフォルトで、この拡張は毎日 1 回通知メールを送信します。このメールには、前回メール送信後に発生した Let’s Encrypt 関連のイベントすべてに関する情報が含まれています。イベントが発生するたびにイベントごとのメールを受信したい場合、この設定を「現在」 に設定してください。 | 1 日 |
use-common-challenge-dir |
共通の challenge ディレクトリの使用を設定します。 /var/www/vhosts/default/.well-known/acme-challenge.
|
true | |
|
(非推奨) |
SSL/TLS 証明書の更新時の登録メールアドレスとして使用されます。ドメイン登録用のメールアドレスが ModulesSettings に保存されておらず、ドメイン所有者のメールアドレスが登録されていない場合にのみ使用されます。 現在、Let's Encrypt では証明書の発行にメールアドレスを必要としています。この設定は現時点ではまだサポートされていますが、将来的に廃止される予定です。 |
管理者メールアドレス | |
acme-directory-url |
ディレクトリのリソース URI | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
ACME プロトコルバージョン | acme-v02 |
注釈: * Let’s Encrypt 拡張は、新しいドメインを保護するたびに、ドメインに HTTP 経由でアクセスできるかどうかをチェックします。これは、Plesk でドメインを作成してからしばらくの間、ドメインが使用不可になる場合があるためです。このチェック中、check-availability で始まるすべての設定が適用されます。