Let's Encrypt 更新作業

2018/06/07 14:05:56
Noranekoです。

Let's Encryptは有効期間が90日と短いので、期限前の更新が必要です。

ワイルドカードでなければ

certbot-auto renew


でcronに登録して自動更新できてたのですが、

どうやらワイルドカードではエラーが出るみたいです。

しかも新たに『/etc/letsencrypt/live/***.com-001/』という

ディレクトリが出来てしまうらしい…

Let's Encryptの証明書は、

/etc/letsencrypt/live/***.com/

でドメインごとに管理されてて、その中の証明書が最新の証明書に

シンボリックリンクされているのに、これはひどい。


どうにかして自動更新したいなと思って調べたら、

k5324さんの

Let's Encrypt の証明書をワイルドカードなやつにして自動更新できるようにした

にあるように、Cloudflareを使う必要性があります。

めんどくさいので、前回と同様に新規で取得。

DNSのテキストを更新。

その後、httpdとpostfixをrestart。

メールの証明書にも使ってる場合はpostfixを再起動するのもお忘れなく!

新規取得では『-0001』と言う謎のディレクトリが作られなかったし、

コマンドも履歴からそのまま打つだけなので

手動更新はそんなに手間じゃないですね。




気に入ったら押してね
  ブログランキング・にほんブログ村へ




~こんなアプリ出してます~

authored by Noraneko | Comment(0) | LAMP

Let's Encrypt

2018/03/16 17:53:43
いろいろと他の事をしてたので、全く更新してませんでした。

Noranekoです。



ということで、約一年半ぐらい前にLet's Encryptを使ってSSL化しました。

当時の手順を書こうと思ってて、こんなに月日が流れてしまった…

しかし!

今回新たにワイルドカードにも対応したので、ここに書き留めておきたいと思います。


先ず私はcertbotをcronしてたのでこいつを削除。

次にcertbotのディレクトリで証明書を失効します。

# ./certbot-auto revoke --cert-path /etc/letsencrypt/archive/hoge.com/cert1.pem


次のコマンドで証明書等を消します。

# ./certbot-auto delete -d hoge.com


もう使わないので、certbotディレクトリごと消します。

# rm -rf ../certbot/



今回調べてたらcertbotがyumで提供されてるので、

これは楽ちんということで、yumしちゃいます。

# yum -y install epel-release
# yum -y install certbot


そしたらcertbotを起動します。
# certbot certonly --manual --server https://acme-v02.api.letsencrypt.org/directory \
> --preferred-challenges dns \
> -d *.hoge.com -d hoge.com -m mail@hoge.com \
> --agree-tos --manual-public-ip-logging-ok \


この辺を詳しく知りたい方は、


あぱーぶろぐへ!



よくわからない人は、この方にどしどし質問しましょう!

他のサイトもちらほら技術解説があったんですが、

この方がサブドメインなしのドメインを追加していたので非常に参考になりました。

これを叩くと「DNS TXTにdeployしろよカス」

と言うのが2回表示されます。

この2回と言うのが今回重要です。

あぱーさんはすらっと流してますが、ここでほんのり躓きました。





技術ブログを書くなら、




ねこでもわかるように




親切丁寧に書いていただきたい!




なんて小心者なので言えませんが、ネット弁慶なので書き込むことはできる。

んで何故2回なのか?

ふかわりょうでもリスペクトしてるのか?

違います。

つまり*.hoge.comのみで登録するとhttps://hoge.com/でエラーが出ちゃうんです。

その為、*.hoge.comとhoge.comを登録することで2回出てくるのです。

多分。

よくわからないので、あぱーさんに聞いて。



てか意識高いQiitaとかはてなとか、ほんと使えない。

技術を参考したい時は、あぱーさんみたいなこういう個人で技術サイトを作ってる人が断然参考になる。


そんでこの値をDNSのTXTに書きます。



ここで重要なのは2個作ること!



ほんと、あぱーさんちゃんと書いておいて下さいよ!


ということで、お名前.comを使ってる方は、

ネームサーバーの設定 > DNS関連機能設定 > DNSレコード設定を利用する

の新規作成で



ホスト名に _acme-challenge

TYPEを TXT

VALUEに 表示された文字列

追加を押して、これを2個作ります。

浸透するまで5分くらい待てばいいかな?

5分待ってから何かキーを押して、



Congratulations!



が出たら成功です!

後はhttpdのconfとかに書くか、あぱーさんに聞いてSSLを設定して下さい。



PS
あぱーブログはとても参考になりました。
ありがとうございました!




気に入ったら押してね
  ブログランキング・にほんブログ村へ




~こんなアプリ出してます~

authored by Noraneko | Comment(0) | LAMP
1 2 
BLOG内検索
<< 2018/11 >>
Sun Mon Tue Wed Thu Fri Sat
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30