.well-knownフォルダについて

ドメイン認証SSL

SSLを導入したサイトに.well-knownというフォルダが作成されている事がございます。

 

well-known

 

このフォルダは、SSL認証局がサイトのSSL証明書を発行する時に、申請のFQDN(Fully Qualified Domain Name)の所有権を確認する為に、発行された認証ファイルを設置する為のフォルダとなります。ドメイン認証型SSLでは、CSR SSL証明書の申請時におけるCSRとは、Certificate Signing Requesの略で、サーバ証明書発行の際に必ず必要となる、証明書署名要求と呼ばれるデータです。CSRはSSL証明書を利用したいサーバー上に生成して、生成したCSRを認証機関に提出し認証機関がこれに署名をして、サーバ証明書を発行します。CSRに入力する情報は、間違い無く登録する必要があり、間違いがあるとSSL証明書が発行されなかったり、審査対象となり発行が遅れる事があります。 に記載されたFQDNが申請者に所有権がある事を確認するの認証手続きが必要となります。この手続きの一つとして、ファイル認証があり、この認証の為にサーバーに設置するファイルを格納するフォルダが、.well-knownです。

 

well-knownの中には、以下の様に暗号化された様文字列のファイルがあり、このファイル自体には所有権確認の為の認証キーが記載されています。

 

well-known

 

↑Let's Encryptの場合で自動更新の場合の.well-known/acme-challengeフォルダ内

 

このフォルダの削除

認証は一度きりですので、削除しても問題ありません。SSL証明書の更新時などに再びファイル認証を行う必要がありますが、再度.well-knownフォルダを作成します。

 

Let's Encrypt SSL証明書を利用している場合

Let"s Encryptは、無償で使用できるSSL証明書で、レンタルサーバーの無料SSLで良く使用されています。Let"s Encryptの有効期限は、90日間と有償の証明書と比べ短く設定されています。Let"s Encryptには、SSL証明書の更新を自動化するツールが用意されており、多くのレンタルサーバーではこの自動更新のツールを利用して、一度設定すると無効にしない限り、更新し続ける様にしています。この際のファイル認証も自動化されていて、.well-knownフォルダへの認証ファイル生成も自動な為、.well-knownフォルダに認証ファイルが生成できないと自動更新がストップしてしまいます。その結果、SSL証明書の期限が切れてしまう為、ウェブサイトの表示に支障を来す事になりますので、ご注意ください。

証明書の有効期限切れによるWebサイトへの影響

 

尚、Let's Encryptを利用している場合は、次の様な事に注意してください。

ドキュメントルートにアクセス制限を掛ける場合

ドキュメントルート自体に、Basic認証 ウェブサイトの特定ページ、特定のファイル、特定カテゴリ、全体などアクセス制限をかける方法は、色々ありますが最も簡易的に制限をかける事が出来るウェブサーバーの仕組みを「Basic認証」といいます。
多くの共用サーバーでは、コントロールパネルより制限をかけたい領域・ページ・ID・パスワードが設定できる様になっていますので、一時的に制限したい場合などに利用する事ができます。
Basic認証でのログイン方法は、こちらをご覧ください。
を導入したり、IP制限などのアクセス制限をかけていると、Let's Encryptのサービスが認証ファイルを参照できない為、証明書が発行されません。

一時的に認証を外す※か、制限の範囲からwell-knownを除外する必要がございます。

 

書き込み権限

ドキュメントルート、.well-knownフォルダ自体とその配下のフォルダの書き込み権限を禁止にしてしまうと、認証ファイル生成が出来ない為、証明書が発行されません。

どうしても書き込み権限を禁止したい場合は、一時的に権限を変更してください。※

 

 

※ 一度証明書が発行されても、90日後には有効期限が切れてしまうので、再度同じ有効期限切れとなってしまいます。

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。