xserverドメインで, let’s encryptをインストールすると失敗した話

前書き

xserverのドメインを用いて、Aレコードをセットし、let’s encrypt導入の流れをシミュレーションしようとしたところ、CAAレコードがあることによりセットできなかったことについてまとめる。

内容

Let's EncryptはUbuntuならaptで簡単にインストールできます。この記事ではaptを使ってインストールする方法や、ドメイン移行前にSSL証明書をインストールする方法を解説します。

インストールは上記を参考にした。

1.Let’s Encryptをインストールする

$apt -y install letsencrypt

2. 証明書発行を行う

$letsencrypt certonly --standalone -d {domain}

以下を入力していく

Enter email address (used for urgent renewal and security notices) (Enter 'c' to Cancel): 

{mailaddress} を入力する

Please read the Terms of Service at
404 Page not found -  Let's Encrypt
 Let's Encrypt is a free, automated, and open certificate authority brought to you by the nonprofit Internet Security Research Group (ISRG). 
letsencrypt.org You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory

規約に同意するかしないかを選ぶ
Agree or Cancel

Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.

メールに情報をlet's encryptの情報を届けるか選ぶ 
YES or No

これで官僚と思ったら以下長ったらしいエラーメッセージが出た。

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you’re using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.

どうやら設定したIPが、パブリックなIPではないもしくは、firewallsとかでブロックされてるのではないかとのこと。

確かにセキュリティグループを確認すると、80番ポートは、解放されていなかったので、80番ポートは解放した。

その後、再度同じコマンドを打った際、次は別のエラーが出た

Failed authorization procedure. test.sawadeeeen.com (http-01): urn:ietf:params:acme:error:dns :: During secondary validation: DNS problem: SERVFAIL looking up CAA for test.sawadeeeen.com – the domain’s nameservers may be malfunctioning

CAAレコードってなんぞやと思って調べると

SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。
https://help.sakura.ad.jp/115000139062/

とのこと

どうやらCAAレコードが見つかり、勝手にSSL証明書を発行できないようになっているらしい。

今回ドメインは、xserverで契約していて、xserver上でSSL設定ができるようになっているので、それ以外はできないようにしているわけかな

https://www.xserver.ne.jp/support/faq/faq_service_ssl.php
追記: QAにて、他社で購入したSSLサーバ証明書は使えないとあるので、できない決まりのよう

あとがき

少し自分で試せなくて残念だけど、楽にSSL化できるのは助かりますね。

他のサーバや他のDNSサービスでも使えるし、有料のしっかりしたSSL証明書も使えるので結構いいかも

ちなみにxserverの提供している無料独自SSLもLet’s Encryptを使用しているそう。