お疲れ様です。
技術部の向坂です。

4月2日にテックブログにてLet’s Encryptを導入してみる(CentOS6編)を書きました。
そこで運用のために必要なSSL証明書の自動更新設定をご紹介します。

なぜ更新設定が必要なのか?

SSL証明書には有効期間が決まっていて
SSL証明書によって変動しますが、Let’s Encryptの場合は有効期間が90日間です。
有効期間が切れてしまうとSSL化が無効になってしまいます。 サイトが見れなくなるということはないのですが、SSL証明書の更新をしてセキュリティを保ちましょう。

更新方法ですが、Let’s Encryptの場合はコマンドで更新します。

crontabで更新するスクリプトを作成するのも良いですが、
certbotをパッケージでインストールすると証明書を更新するための設定ファイルも同時にインストールしてくれるので
この設定ファイルを使うのが簡単ですね。

それでは進めていきます。

1. 自動更新の設定ファイルがインストールされているか確認

コマンドで設定ファイルをインストールしたか確認

$sudo rpm -ql certbot

“パッケージ certbot はインストールされていません。”と表示された場合は2,へ

以下の2行が表示されたら3,へお進みください。

/usr/lib/systemd/system/certbot-renew.service
/usr/lib/systemd/system/certbot-renew.timer

2.certbotパッケージのインストール
$sudo yum install certbot

インストールが完了したら1,のコマンドでインストールされているか確認してください。

3.設定ファイルの有効化

以下のコマンドで設定ファイルを有効化

$systemctl enable --now certbot-renew.timer
4.設定ファイル有効化の確認
$sudo systemctl list-timers

以下のようにcertbot-renew.timerのNEXT欄に起動予定時刻が入っていれば設定できています。

毎日実行する設定ですが、今回使用している設定ファイルはSSL証明書の有効期間が30日を切ったら更新する設定になっています。
なので翌日に更新されていなくても問題ありません。

下のように有効期限が10月1日であれば9月のどこかで有効期限を確認して更新されていればうまく動いてくれています。

それでは本日もお疲れ様でした。

この記事が気に入ったら
いいね ! してください

Twitter で

Comments are closed.

  • Facebookのロゴ
  • Twitterのロゴ

Copyright © 2011 SSI Laboratory Inc. All Rights Reserved.