今年の初めに発表されたように、**Let's Encrypt** は一般向けに IP アドレス証明書と 6 日間有効な証明書を発行するようになりました。**Electronic Frontier Foundation** の **Certbot** チームは、これらの機能に対応するための改善に取り組んできました。具体的には、昨年 Certbot 4.0 でリリースされた `--preferred-profile` フラグと、Certbot 5.3 で新しく追加された `--ip-address` フラグです。これらの改善により、**Certbot** を使用して IP アドレス証明書を取得できるようになりました！ ### Certbot を使用した IP アドレス証明書の取得 Certbot で IP アドレス証明書を取得するには、バージョン 5.4 以降をインストール（IP アドレスでの `webroot` サポートのため）し、以下のコマンドを実行します。 sudo certbot certonly --staging \ --preferred-profile shortlived \ --webroot \ --webroot-path <ウェブサーバーのルートへのファイルシステムパス> \ --ip-address <あなたの IP アドレス> **重要な考慮事項:** * `--staging` フラグは、Let's Encrypt のステージングサーバーから信頼されない証明書を要求します。機能が正しく動作することを確認したら、公開的に信頼される証明書のためにこのフラグを削除してください。 * `--preferred-profile shortlived` オプションは、Let's Encrypt の「shortlived」プロファイルで、6 日間有効な証明書を要求します。これは IP アドレス証明書の要件です。 ### インストールとウェブサーバーの設定 現在、**Certbot** は IP アドレス証明書の「取得」のみをサポートしており、ウェブサーバーへの「インストール」はサポートしていません。新しく発行された証明書を `/etc/letsencrypt/live/<ip address>/fullchain.pem` および `/etc/letsencrypt/live/<ip address>/privkey.pem` からロードするために、ウェブサーバーの設定を手動で編集する必要があります。 上記のコマンドライン例では、**Certbot** の「webroot」モードを使用しています。これは、実行中のウェブサーバーからアクセス可能な場所にチャレンジ応答ファイルを配置します。この方法により、一時的なサーバーダウンを回避できます。 ### 代替プラグイン 現在、`--manual` および `--standalone` の 2 つのプラグインが IP アドレス証明書をサポートしています。「manual」プラグインは `webroot` に似ていますが、Certbot はチャレンジ応答ファイルの配置を手動で行うために一時停止します（またはユーザー提供のフックを実行します）。「standalone」プラグインは、チャレンジ応答を提供するためにシンプルなウェブサーバーを実行します。設定は簡単ですが、ポート 80 で実行中の既存のウェブサーバーを一時的に停止する必要があります。 **注意:** `nginx` および `apache` プラグインは、まだ IP アドレスをサポートしていません。 ### 自動更新 **Certbot** が自動更新用に設定されていることを確認してください。ほとんどのインストール方法では、これが自動的に設定されます。ただし、ウェブサーバー固有のインストーラーはまだ IP アドレス証明書をサポートしていないため、更新された証明書をディスクからロードするようにウェブサーバーに指示する `--deploy-hook` を設定する必要があります。この `--deploy-hook` は、上記で言及した他のフラグとともに、`certbot reconfigure` コマンドを通じて提供できます。 支援が必要な場合は、**Let's Encrypt** の [コミュニティフォーラム](https://community.letsencrypt.org/) を参照してください。