Linux CentOS7でLet’s Encryptを自動更新にする

Linux CentOS7でLet’s Encryptを自動更新にする

こんばんは、のるぼるのるのです。DA PUMPのライブがWowowで生中継されていました。汗だくのISSAを見ると、大学生の時、よくライブをしていたことを思い出します。U.S.A.の出だしでダンサーの方がミスってたような気がして、やっぱりプロでも緊張するのかな、と思いました。(小並)

 

さて、今回はまあまあ記事になっていますが、Let’s Encryptを使用してSSL証明書の更新、その後自動更新を設定していきたいと思います。

というのも、よくある記事ではcertbot-auto renewをしていますが、やろうとしたらちょっと躓いたから、備忘録です(恥ずかしいぜ!)

では、Linux情弱のSSL更新にお付き合いください。

 

SSL証明書の更新

よくあるのはこんな感じ

certbot-auto renewサブコマンドを使用してSSL証明書を更新します。更新する対象が見つからない場合は、特に何もせずに終了します。

 

さーてじゃあ更新メールも届いたし、チャチャっとやりますかー。。。

certbot-autoが無い。。。

はー

どうやらCentOS 6系とはちょっと違うみたいです。Let’s Encryptをインストールしたのは随分前なので、どんな感じでやったかなんて完全に忘れています。

どないするかなー、と思ったら、ふっつうに以下でできるとのこと。

 

よっしゃこれは入ってるな!

。。。はい、rootでやれとのことでしたはいやりました

 

SSL証明書を更新したら、webサーバーを再起動します。

よっしゃ!

 

以下のようなメッセージが表示されたら、更新の対象外となります。

強制的に更新をかけたいときは、force-renewオプションを使用してください。

 

crontabへの登録

では、自動更新の設定をしていきましょう。

まずはこちらのコマンドをテスト。

–post-hookオプションでは、更新が入った時、更新後に実行したいコマンドを記述することができます

crontabに登録していきましょう

毎日深夜三時にrenewサブコマンドで更新をチェック、更新した時のみapacheを再起動します。

 

注意と実行頻度

Let’s Encryptは、週に5回重複したSSL更新の申請をすると、使用制限に引っかかります。

ですので、–force-renewオプションは最終手段にしてください。

また、SSL更新は1日に2回行うのが良いとされていますが、毎日1回やればほぼほぼ更新出来ると思うので、一回crontabに設定したらほとんど忘れていいと思います。

 

あー、certbot-autoがなかった時ちょっくら焦りました、、、

これからも当サイトをよろしくお願いいたします笑

CentOSカテゴリの最新記事