Let’s Encrypt 自動更新設定
お疲れ様です。
技術部の向坂です。
4月2日にテックブログにてLet’s Encryptを導入してみる(CentOS6編)を書きました。
そこで運用のために必要なSSL証明書の自動更新設定をご紹介します。
なぜ更新設定が必要なのか?
SSL証明書には有効期間が決まっていて
SSL証明書によって変動しますが、Let’s Encryptの場合は有効期間が90日間です。
有効期間が切れてしまうとSSL化が無効になってしまいます。
サイトが見れなくなるということはないのですが、SSL証明書の更新をしてセキュリティを保ちましょう。
更新方法ですが、Let’s Encryptの場合はコマンドで更新します。
crontabで更新するスクリプトを作成するのも良いですが、
certbotをパッケージでインストールすると証明書を更新するための設定ファイルも同時にインストールしてくれるので
この設定ファイルを使うのが簡単ですね。
それでは進めていきます。
1. 自動更新の設定ファイルがインストールされているか確認
コマンドで設定ファイルをインストールしたか確認
$sudo rpm -ql certbot“パッケージ certbot はインストールされていません。”と表示された場合は2,へ
以下の2行が表示されたら3,へお進みください。
/usr/lib/systemd/system/certbot-renew.service
/usr/lib/systemd/system/certbot-renew.timer
2.certbotパッケージのインストール
$sudo yum install certbotインストールが完了したら1,のコマンドでインストールされているか確認してください。
3.設定ファイルの有効化
以下のコマンドで設定ファイルを有効化
$systemctl enable --now certbot-renew.timer4.設定ファイル有効化の確認
$sudo systemctl list-timers以下のようにcertbot-renew.timerのNEXT欄に起動予定時刻が入っていれば設定できています。
毎日実行する設定ですが、今回使用している設定ファイルはSSL証明書の有効期間が30日を切ったら更新する設定になっています。
なので翌日に更新されていなくても問題ありません。
下のように有効期限が10月1日であれば9月のどこかで有効期限を確認して更新されていればうまく動いてくれています。
それでは本日もお疲れ様でした。
