Plesk Let's Encrypt 拡張の動作は、以下のような各種設定によって制御されます。

  • 有効期限の何日前にLet's Encrypt証明書 が更新されるか
  • ACME サーバのリクエストが Plesk ログに記録されるか
  • RSA 秘密キーのサイズなど

これらの設定は、panel.ini 構成ファイルの [ext-letsencrypt] セクションにカスタム値を指定して変更できます。たとえば、Let's Encrypt の証明書を有効期限の 45 日前に更新し、RSA 秘密キーのサイズを 4096 ビットにしたい場合、panel.ini ファイルに以下の行を追加します。

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096

Let's Encrypt の無料 SSL/TLS 証明書でウェブサイトのセキュリティを維持する

Let’s Encrypt 拡張では、ホストされるウェブサイトを、Let’s Encrypt の提供する信頼性の高い無料の SSL/TLS 証明書で自動的に保護することができます。各ホスティングプランに対し、この機能のオン/オフを個別に切り替えることができます。特定のホスティングプランに対してこの機能をオフに切り替えると、このホスティングプランをベースにする契約に属する各ドメイン、サブドメイン、ドメインエイリアス、ウェブメールが以下のいずれかを満たす場合、

  • 自己署名 SSL/TLS 証明書で保護されている
  • 期限切れの SSL/TLS 証明書で保護されている
  • SSL/TLS 証明書で保護されていない

自己署名 SSL/TLS 証明書または期限切れの SSL/TLS 証明書が Let’s Encrypt 証明書に置き換えられます。

また、自己署名 SSL/TLS 証明書または期限切れの SSL/TLS 証明書に加え、信頼できる認証局から発行されたものではない SSL/TLS 証明書も Let’s Encrypt 拡張によって置き換えることができます。これには、check-domain-cert-authority 設定を true に設定します。詳細は「Let's Encrypt 設定リスト」で check-domain-cert-authority 設定について確認してください。

Let's Encrypt の無料 SSL/TLS 証明書でウェブサイトのセキュリティを維持するには:

  1. [サービスプラン]に移動します。
  2. [ホスティングプラン]タブで、[プランを追加]をクリックして新しいプランを作成するか、既存のプランの名前をクリックして編集します。
  3. [追加サービス]タブを開きます。
  4. [SSL It!]の下で[無料の SSL 証明書によるウェブサイトの保護を維持]をオンにします。
  5. [OK]をクリックします。

これで、このホスティングプランをベースにする契約に属するすべてのドメイン、サブドメイン、ドメインエイリアス、ウェブメールが Let’s Encrypt 証明書で自動的に保護されるようになります。この変更は、既存の契約と新規作成される契約の両方に影響を与えます。

あるいは、以下のリクエストを送信することで、XML API 経由で[無料の SSL 証明書によるウェブサイトの保護を維持]オプションを有効にすることもできます。

<?xml version="1.0" encoding="UTF-8"?>
<packet>
  <service-plan>
    <add-plan-item>
      <filter>
        <name>Default Domain</name>
      </filter>
      <plan-item>
        <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
      </plan-item>
    </add-plan-item>
  </service-plan>
</packet>

Let's Encrypt 設定リスト

panel.ini で指定できる Let's Encrypt の全設定のリストは以下のとおりです。

設定 タイプ 説明 デフォルト値
rsa-key-size integer RSA 秘密キーのサイズ(ビット) 2048
user-agent string User-Agent HTTP ヘッダ Plesk/$PRODUCT_VERSION
letsencrypt-url string Let's Encrypt のウェブサイト URL https://letsencrypt.org/
terms-url string Let's Encrypt ポリシーおよびリーガルリポジトリの URL https://letsencrypt.org/repository/

renew-before-expiration

(非推奨)

integer

証明書の自動更新がスケジュールされている期限切れまでの日数

SSL It! 拡張にも同じ設定を使用できます。この場合、SSL It! の設定の方が Let's Encrypt の設定より優先されます。

現在、この設定はまだサポートされていますが、将来的に Let's Encrypt で廃止される予定です。

30
config-dir string サードパーティ統合用の証明書が格納される場所 $PRODUCT_ROOT/var/modules/letsencrypt/etc
verify string 信頼できる CA ルート証明書バンドルのパス $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem
disable-cleanup boolean ドメイン紛争の解決後のトークファイルのクリーンアップを無効にします。 false
log-requests boolean ACME サーバへのリクエストを Plesk ログに記録します。 false
secure-new-domain boolean 新しい契約、ドメイン、サブドメインを作成するときに表示される[Let's Encrypt でドメインを保護]チェックボックスのデフォルト状態を設定します。 false
letsencrypt-docs-rate-limits-url string 「レート制限」に関する Let's Encrypt ドキュメントへの URL。このリンクは、Let's Encrypt のレート制限に達すると、拡張の GUI エラーメッセージに表示されます。 https://letsencrypt.org/docs/rate-limits/
check-availability-delay integer * ドメインに HTTP 経由でアクセスする場合の試行間の待機時間(秒) 5
check-availability-max-attempts integer * ドメインに HTTP 経由でアクセスする場合の最大試行回数 10
check-availability-timeout integer * ドメインに HTTP 経由でアクセスする場合のチェックのタイムアウト時間(秒)。check-availability-timeout に定義された時間内に応答コードが受信されない場合、ドメインは使用不可とみなされます。 5
check-domain-cert-authority boolean [無料の SSL 証明書によるウェブサイトの保護を維持]オプションが有効で、この設定を「false」に設定した場合、Let’s Encrypt 拡張は自己署名 SSL/TLS 証明書と期限切れの SSL/TLS 証明書のみを置き換えます。「true」に設定すると、信頼できる CA ルート証明書バンドル内にあるルート証明書によって信頼されていない SSL/TLS 証明書も置き換えられます(verify 設定を参照してください)。 false
send-notifications-interval date interval Let’s Encrypt 拡張が通知を送信する頻度(たとえば、Let’s Encrypt 証明書で保護されているドメインに関する通知、Let’s Encrypt 証明書の更新に関する通知)。デフォルトで、この拡張は毎日 1 回通知メールを送信します。このメールには、前回メール送信後に発生した Let’s Encrypt 関連のイベントすべてに関する情報が含まれています。イベントが発生するたびにイベントごとのメールを受信したい場合、この設定を「現在」 に設定してください。 1 日
use-common-challenge-dir   共通の challenge ディレクトリの使用を設定します。 /var/www/vhosts/default/.well-known/acme-challenge. true

fallback-registration-email

(非推奨)

 

SSL/TLS 証明書の更新時の登録メールアドレスとして使用されます。ドメイン登録用のメールアドレスが ModulesSettings に保存されておらず、ドメイン所有者のメールアドレスが登録されていない場合にのみ使用されます。

現在、Let's Encrypt では証明書の発行にメールアドレスを必要としています。この設定は現時点ではまだサポートされていますが、将来的に廃止される予定です。

管理者メールアドレス
acme-directory-url   ディレクトリのリソース URI https://acme-v02.api.letsencrypt.org/directory
acme-protocol-version   ACME プロトコルバージョン acme-v02

注釈: * Let’s Encrypt 拡張は、新しいドメインを保護するたびに、ドメインに HTTP 経由でアクセスできるかどうかをチェックします。これは、Plesk でドメインを作成してからしばらくの間、ドメインが使用不可になる場合があるためです。このチェック中、check-availability で始まるすべての設定が適用されます。