Let's Encrypt 更新作業
2018/06/07 14:05:56Let's Encryptは有効期間が90日と短いので、期限前の更新が必要です。
ワイルドカードでなければ
certbot-auto renew
でcronに登録して自動更新できてたのですが、
どうやらワイルドカードではエラーが出るみたいです。
しかも新たに『/etc/letsencrypt/live/***.com-001/』という
ディレクトリが出来てしまうらしい…
Let's Encryptの証明書は、
『 /etc/letsencrypt/live/***.com/』
でドメインごとに管理されてて、その中の証明書が最新の証明書に
シンボリックリンクされているのに、これはひどい。
どうにかして自動更新したいなと思って調べたら、
k5324さんの
Let's Encrypt の証明書をワイルドカードなやつにして自動更新できるようにした
にあるように、Cloudflareを使う必要性があります。
めんどくさいので、前回と同様に新規で取得。
DNSのテキストを更新。
その後、httpdとpostfixをrestart。
メールの証明書にも使ってる場合はpostfixを再起動するのもお忘れなく!
新規取得では『-0001』と言う謎のディレクトリが作られなかったし、
コマンドも履歴からそのまま打つだけなので
手動更新はそんなに手間じゃないですね。
気に入ったら押してね
~こんなアプリ出してます~
Let's Encrypt
2018/03/16 17:53:43Noranekoです。
ということで、約一年半ぐらい前にLet's Encryptを使ってSSL化しました。
当時の手順を書こうと思ってて、こんなに月日が流れてしまった…
しかし!
今回新たにワイルドカードにも対応したので、ここに書き留めておきたいと思います。
先ず私はcertbotをcronしてたのでこいつを削除。
次にcertbotのディレクトリで証明書を失効します。
# ./certbot-auto revoke --cert-path /etc/letsencrypt/archive/hoge.com/cert1.pem
次のコマンドで証明書等を消します。
# ./certbot-auto delete -d hoge.com
もう使わないので、certbotディレクトリごと消します。
# rm -rf ../certbot/
今回調べてたらcertbotがyumで提供されてるので、
これは楽ちんということで、yumしちゃいます。
# yum -y install epel-release
# yum -y install certbot
# yum -y install certbot
そしたらcertbotを起動します。
# certbot certonly --manual --server https://acme-v02.api.letsencrypt.org/directory \
> --preferred-challenges dns \
> -d *.hoge.com -d hoge.com -m mail@hoge.com \
> --agree-tos --manual-public-ip-logging-ok \
> --preferred-challenges dns \
> -d *.hoge.com -d hoge.com -m mail@hoge.com \
> --agree-tos --manual-public-ip-logging-ok \
この辺を詳しく知りたい方は、
あぱーぶろぐへ!
よくわからない人は、この方にどしどし質問しましょう!
他のサイトもちらほら技術解説があったんですが、
この方がサブドメインなしのドメインを追加していたので非常に参考になりました。
これを叩くと「DNS TXTにdeployしろよカス」
と言うのが2回表示されます。
この2回と言うのが今回重要です。
あぱーさんはすらっと流してますが、ここでほんのり躓きました。
なんて小心者なので言えませんが、ネット弁慶なので書き込むことはできる。
んで何故2回なのか?
ふかわりょうでもリスペクトしてるのか?
違います。
つまり*.hoge.comのみで登録するとhttps://hoge.com/でエラーが出ちゃうんです。
その為、*.hoge.comとhoge.comを登録することで2回出てくるのです。
多分。
よくわからないので、あぱーさんに聞いて。
てか意識高いQiitaとかはてなとか、ほんと使えない。
技術を参考したい時は、あぱーさんみたいなこういう個人で技術サイトを作ってる人が断然参考になる。
そんでこの値をDNSのTXTに書きます。
ここで重要なのは2個作ること!
ほんと、あぱーさんちゃんと書いておいて下さいよ!
ということで、お名前.comを使ってる方は、
ネームサーバーの設定 > DNS関連機能設定 > DNSレコード設定を利用する
の新規作成で
ホスト名に _acme-challenge
TYPEを TXT
VALUEに 表示された文字列
追加を押して、これを2個作ります。
浸透するまで5分くらい待てばいいかな?
5分待ってから何かキーを押して、
Congratulations!
が出たら成功です!
後はhttpdのconfとかに書くか、あぱーさんに聞いてSSLを設定して下さい。
PS
あぱーブログはとても参考になりました。
ありがとうございました!
気に入ったら押してね
~こんなアプリ出してます~
1 2
BLOG内検索
Sun | Mon | Tue | Wed | Thu | Fri | Sat |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |
カテゴリー