技術メモ

後で同じ状況が起こった時に思い出せるように技術的なちょっとしたことをメモする。ベストな解ではない。



認証局がLet’s Encryptの証明書を更新しようとしたらエラーが出た


Let’s Encryptは無料でTLSの証明書を発行してくれる認証局である。
非常にありがたいのだが、発行される証明書の有効期限は90日しかない。
そこで、有効期限が近づいたら更新(sudo certbot renewコマンド)を行うのだが、そこで下のようなエラーが出た。

$ sudo certbot renew
Saving debug log to *****************/letsencrypt.log

——————————————————————————-
Processing ************************.conf
——————————————————————————-
Cert not yet due for renewal

The following certs are not due for renewal yet:
***************************** (skipped)
No renewals were attempted.

※セキュリティーの観点から、パスは*に置き換えています。

これは、まだ証明書の有効期限が十分に残っている時に起こるらしい。
(参考: https://letsencrypt.jp/docs/using.html)
自分がこれをやった時にはまだ1ヶ月ちょっと期限が残っていた。
そこで期限が切れる3週間前にコマンドを実行したら上手く行った。

$ sudo certbot renew
Saving debug log to *****************/letsencrypt.log

——————————————————————————-
Processing ************************.conf
——————————————————————————-
Cert is due for renewal, auto-renewing…
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for kzmmtmt.pgw.jp
Waiting for verification…
Cleaning up challenges

——————————————————————————-
new certificate deployed without reload, fullchain is
*************************************************
——————————————————————————-

Congratulations, all renewals succeeded. The following certs have been renewed:
********************************************* (success)
$ sudo systemctl restart httpd

※セキュリティーの観点から、パスは*に置き換えています。

更新したらhttpdを再起動して更新された証明書を適用するのを忘れないように。
何日前から更新が可能なのかは書かれていないので分からないが、crontabなどを使って定期的に自動更新されるようにすれば更新の時期を考える必要はなくなる。



タグ: ,
投稿日: 2018年3月2日
最終更新日:





コメントを残す

回答をお約束することは出来ませんので予めご了承ください。
コメントは承認されると表示されるようになります。
コメントを送信する前に「私はロボットではありません」にチェックを入れて下さい。