スキップしてメイン コンテンツに移動

Let's encrypt で、GAEで動作しているアプリをHttps化してみた

試しに、GAE上で動作させているWebページをHttps化してみました。
https://firefirestyle.net

SSLには、Let's Encrypt(https://letsencrypt.org/)を利用しました。
https://certbot.eff.org/#osx-otherの通りに手を動かすとできます。

Install

brew install certbot


Get Started

1) sudo certbot certonly --manual

1-1) Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel):
firefirestyle.net

登録するドメインをしていする

1-2) Are you OK with your IP being logged?
Y

IPを記録するとのことなので、OKする。NOだと、登録できない。


1-3) Make sure your web server displays the following content at
http://firefirestyle.net/.well-known/acme-challenge/xxxxxyyyyy...

zzzzaaaaa....

http://firefirestyle.net/.well-known/acme-challenge/xxxxxyyyyy...
を開くと、zzzzaaaaa....と表示されるようにする。


1-4) Enterを押すとpemが生成されます。


2) private.keyをrsaフォーマットにコンバードする
sudo openssl rsa -inform pem -in privkey.pem -outform pem -out out.pem


3) GAEの登録
3-1) ページを開く
https://cloud.google.com/appengine/docs/python/console/using-custom-domains-and-ssl
に記載の登録ページに行く

3-2) PEM encoded X.509 public key certificate に、fullchain.pem を指定する

3-3) Unencrypted PEM encoded RSA private keyに、out.pem を指定する



期間

証明書の期限は、3ヶ月なので、こまめに更新する必要があります。
もともと、lets encrypt は、Unencrypted PEM encoded RSA private key を利用して
自動更新する方法を想定して作られています。

GAEでの、この辺りの自動化については、以下とか参考にしてください。

まだ、私は試していません。

参考

http://koni.hateblo.jp/entry/2016/06/02/233900
http://blog.seafuj.com/lets-encrypt-on-google-app-engine
https://community.letsencrypt.org/t/error-adding-cert-invalid-private-key/5167




これから読む

https://github.com/jlandure/go-appengine-https
https://github.com/xenolf/lego




コメント

  1. こっちを見るべし

    https://cloudplatform.googleblog.com/2017/09/introducing-managed-SSL-for-Google-App-Engine.html



    返信削除

コメントを投稿

このブログの人気の投稿

KyoroStressの技術 -1- Low Memory Killer を意図的に発生させたい

[課題] Low Memory Killer を意図的に発生させたい Androidには、ヒープが涸渇すると使われていないアプリをKillする機能があります。 この記事では、意図的にヒープを枯渇させて、この状態をつくる方法について説明します。 単純にヒープを大量に消費するアプリを作成すれば良いように思えます。 しかし、これだけでは上手くいきません。   -A ひとつのアプリで消費できるヒープが制限されているため、ひとつのアプリで端末のヒープが涸渇している状態をつくれない。   -B ヒープを涸渇しているアプリがPFにKILLされる場合がある。 といった問題があります。 KyoroStressV2での解決方法を紹介します。 [KyoroStressでの解決方法] Kyoro Stress では、以下のような方法をとりました。 - 1. 複数のServiceを、各々異なるプロセスで起動する。 - 2. 各々Serviceで大量のヒープを消費する。 複数のプロセスを立ち上げれば、PFのヒープを枯渇させることができます。これで、(A)の問題が解決できました。 また、Bについては、「生きているプロセス」が「KILLされたプロセス」の分もヒープを消費すれば上手くいけそうです。 [BigEater(ヒープ消費サービス)の動作] KyoroStressV2で、ヒープを消費するサービスは以下のシナリオで動作しています。 - 1. 指定されたヒープを取得する。 is retry が true の時、指定されたヒープを取得できるまで、1を何度も繰り返す。 - 2. KILLされたサービスを復活させる。 is retry が true の時、Threadが死ぬまで、何度も2を繰り返す。 - 3. 終了 といった感じです。 このままでは、すべてのServiceがPFにKILLされたら上手くいかないように思うかも知れません。 しかし、時間がたつと(数秒)、PFはKILLしたServiceを再起動します。 このため、ServiceがすべてKILLされても、ヒープを大量に消費しようとする状態は保持されます。 [使い方] KyoroStressV2の操作方法…

P2P探訪 STUNでNAT越え その1

UPnPを用いて、NAT越えできました。しかし、ルータがUPnPをサポートしていなかったり。UPnPだけでは越えられないNATがあります。

本文では、その代案として前回解説できなかった。「適当なサーバーに接続してみて、相手から見えているアドレスを返してもらう方法」について解説していきます。

TCPの限界 インターネットで公開されている情報のほとんどは、TCPという通信方法でデータをやり取りされています。ですから、インターネットで情報を公開したい場合は、TCPサーバーを立ち上げる事を考える事でしょう。
 しかし、ルータがUPnPをサポートしていない場合、TCPを用いたサーバーを運用する事は困難になります。※ 基本、無理と考えもらって問題ありません。


接続相手から教えてもらう方法はどうした? 適当なサーバーに接続してみて、相手から見えているアドレスを返してもらう事で実現できないのでしょうか。前回はできそうな事を臭わせていました。しかし、TCPにおいて、これは困難です。

実際にTCPのプログラムを書き確認して見ましょう。接続相手のホストアドレスは推測できます。しかし、ポート番号を知るすべはありません。


import java.io.IOException; import java.net.Inet4Address; import java.net.ServerSocket; import java.net.Socket; import java.net.UnknownHostException; public class TCPTest { public static void main(String[] args) { TCPTest test = new TCPTest(); test.startServer(); try { Thread.sleep(3000); } catch (InterruptedException e) { e.printStackTrace(); } test.startClient(); } private Server mServer = new Server(); public void startServer() { mServer.start(); } public v…

P2P探訪 Raider その1-2 Torrentファイルフォーマット

というわけで、前回に引き続いて、この記事ではTorrentファイルについて説明します。 [Torrent file format] 前回、Bencodingを実装したのでTorremt Fileを読み込めることができるようになりました。 今回は、Torrentファイルから必要な情報を読み込む方法について解説します。 torretファイルから取得できる情報はどんなものかは、別の機会に解説します。 ここでは、torrentファイルには 2つのフォーマットがあることとデータ構造を説明します。 たとえば、「"announce"というデータが何なのか?」については解説しません。 torrentファイルでは、ダウンロード/アップロードの対象としているファイルが、ひとつの場合と複数の場合で構造がすこしだけことなります。 ひとつの時を、「single file」 複数の時を「multi file」と呼ぶことにます。 では、データ構造を紹介します。 - single file pattern bendiction benstring "announce" beninteger "creation date" bendiction "info" beninteger "length" benstring "name" beninteger "piece length" bebstring "pieces" - multi file pattern bendiction benstring "announce" beninteger "creation date" bendiction "info" benlist "files" bendiction beninteger "length" benlist "path" benstring be…