6回目-11.Let's Encryptの無料SSL導入

さくらVPSCentOS 7 2週間無料のお試し期間 6回目

Let’s Encryptには以下の制限がある

 状態:-  閲覧数:769  投稿日:2018-02-16  更新日:2018-02-17
IP アドレスに対する証明書は作成できない仕組み
・123.123.123.123といったIPアドレス指定でアクセスする場合のSSLには対応していない

独自ドメインのみ対応
・example.comといった独自ドメインを予め取得・設定しておく必要がある

SSL証明書の有効期限は3ヶ月
・3ヶ月ごとに更新する必要がある

「ドメイン認証(DV)証明書」のみ対応
・対応しているのは「ドメイン認証(DV)証明書」のみ
・中規模以上の企業でよく使われる「企業認証(OV)証明書」や「EV証明書」は取得できない

Link

 閲覧数:108 投稿日:2018-02-17 更新日:2018-02-17 

取得方法別


yum install certbot python2-certbot-apache
無料SSL証明書 Let’s Encryptを導入しよう

yum install certbot
さくらVPS環境設定(CentOS + nginx + php7 + mysql + letsencrypt)
サーバー移転(引越し)でLet’s Encrypt 「SSL/TLSサーバ証明書」はどうする?
CertbotでDNSによる認証(DNS-01)で無料のSSL/TLS証明書を取得する
Let's Encrypt の使い方
Lets’ Encrypt + certbot + NginxでSSL
Auto renew SSL Certificate with Certbot(Let’s Encrypt)
certbotを使用してCSRを使ったLet's Encryptの証明書を発行してみる
Let's EncryptでnginxのSSL化

curl https://dl.eff.org/certbot-auto -o /usr/bin/certbot-auto
さくらVPS(CentOS7) nginxの導入と、Let’s EncryptでSSL
[サーバー] Let's EncryptとNginxで、https対応を行う

git clone https://github.com/certbot/certbot
さくらの VPS + CentOS7 で 俺専用 Mastodon インスタンスを立ててみた話
Let's Encrypt で Nginx にSSLを設定する
メールサーバー間通信内容暗号化(Postfix+Dovecot+OpenSSL+Certbot)
Let’s Encryptの使い方〜SSL証明書の取得から更新の自動化まで〜

wget https://dl.eff.org/certbot-auto
Certbotで自分のサービスをSSL化

その他
Let’s encrypt の証明書を失効させ、ドメインの設定を削除する
さくらのVPS、スタートアップスクリプト「Let's Encrypt」の提供を開始しました

作業開始

 閲覧数:126 投稿日:2018-02-17 更新日:2018-02-18 

インストール


CertbotはEPEL(Enterprise Linux用のExtra Packages)にパッケージ化されている
・Certbotを使用するには、最初にEPELリポジトリを有効にする必要がある
$ sudo yum install epel-release
読み込んだプラグイン:fastestmirror, langpacks
base                                                                                                                                  | 3.6 kB  00:00:00    
epel/x86_64/metalink                                                                                                                  | 7.2 kB  00:00:00    
epel                                                                                                                                  | 4.7 kB  00:00:00    
extras                                                                                                                                | 3.4 kB  00:00:00    
nginx                                                                                                                                 | 2.9 kB  00:00:00    
remi-safe                                                                                                                             | 2.9 kB  00:00:00    
updates                                                                                                                               | 3.4 kB  00:00:00    
(1/3): epel/x86_64/updateinfo                                                                                                         | 881 kB  00:00:00    
(2/3): epel/x86_64/primary_db                                                                                                         | 6.2 MB  00:00:00    
(3/3): remi-safe/primary_db                                                                                                           | 1.1 MB  00:00:01    
Loading mirror speeds from cached hostfile
* base: ftp.iij.ad.jp
* epel: mirror.dmmlabs.jp
* extras: ftp.iij.ad.jp
* remi-safe: mirrors.thzhost.com
* updates: ftp.iij.ad.jp
パッケージ epel-release-7-11.noarch はインストール済みか最新バージョンです
何もしません


$ sudo yum install certbot-nginx
読み込んだプラグイン:fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: ftp.iij.ad.jp
* epel: mirror.dmmlabs.jp
* extras: ftp.iij.ad.jp
* remi-safe: mirrors.thzhost.com
* updates: ftp.iij.ad.jp
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ python2-certbot-nginx.noarch 0:0.21.1-1.el7 を インストール
--> 依存性の処理をしています: certbot = 0.21.1 のパッケージ: python2-certbot-nginx-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-certbot = 0.21.1 のパッケージ: python2-certbot-nginx-0.21.1-1.el7.noarch
--> 依存性の処理をしています: pyparsing のパッケージ: python2-certbot-nginx-0.21.1-1.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ certbot.noarch 0:0.21.1-1.el7 を インストール
--> 依存性の処理をしています: /usr/sbin/semanage のパッケージ: certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: /usr/sbin/semanage のパッケージ: certbot-0.21.1-1.el7.noarch
---> パッケージ pyparsing.noarch 0:1.5.6-9.el7 を インストール
---> パッケージ python2-certbot.noarch 0:0.21.1-1.el7 を インストール
--> 依存性の処理をしています: python2-acme = 0.21.1 のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-configargparse >= 0.10.0 のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-dialog >= 3.3.0 のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-psutil >= 2.1.0 のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-parsedatetime のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-zope-interface のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-future のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-mock のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-zope-component のパッケージ: python2-certbot-0.21.1-1.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ policycoreutils-python.x86_64 0:2.5-17.1.el7 を インストール
--> 依存性の処理をしています: policycoreutils = 2.5-17.1.el7 のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: setools-libs >= 3.3.8-1 のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libsemanage-python >= 2.5-5 のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: audit-libs-python >= 2.1.3-4 のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: python-IPy のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libqpol.so.1(VERS_1.4)(64bit) のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libqpol.so.1(VERS_1.2)(64bit) のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libcgroup のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libapol.so.4(VERS_4.0)(64bit) のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: checkpolicy のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libqpol.so.1()(64bit) のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
--> 依存性の処理をしています: libapol.so.4()(64bit) のパッケージ: policycoreutils-python-2.5-17.1.el7.x86_64
---> パッケージ python-parsedatetime.noarch 0:1.5-3.el7 を インストール
---> パッケージ python-zope-component.noarch 1:4.1.0-3.el7 を インストール
--> 依存性の処理をしています: python-zope-event のパッケージ: 1:python-zope-component-4.1.0-3.el7.noarch
---> パッケージ python-zope-interface.x86_64 0:4.0.5-4.el7 を インストール
---> パッケージ python2-acme.noarch 0:0.21.1-1.el7 を インストール
--> 依存性の処理をしています: pyOpenSSL >= 0.13 のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-cryptography のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-ndg_httpsclient のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-pyasn1 のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-pyrfc3339 のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python-requests のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: python2-josepy のパッケージ: python2-acme-0.21.1-1.el7.noarch
--> 依存性の処理をしています: pytz のパッケージ: python2-acme-0.21.1-1.el7.noarch
---> パッケージ python2-configargparse.noarch 0:0.11.0-1.el7 を インストール
---> パッケージ python2-dialog.noarch 0:3.3.0-6.el7 を インストール
--> 依存性の処理をしています: dialog のパッケージ: python2-dialog-3.3.0-6.el7.noarch
---> パッケージ python2-future.noarch 0:0.16.0-6.el7 を インストール
---> パッケージ python2-mock.noarch 0:1.0.1-9.el7 を インストール
---> パッケージ python2-psutil.x86_64 0:2.2.1-3.el7 を インストール
--> トランザクションの確認を実行しています。
---> パッケージ audit-libs-python.x86_64 0:2.7.6-3.el7 を インストール
--> 依存性の処理をしています: audit-libs(x86-64) = 2.7.6-3.el7 のパッケージ: audit-libs-python-2.7.6-3.el7.x86_64
---> パッケージ checkpolicy.x86_64 0:2.5-4.el7 を インストール
---> パッケージ dialog.x86_64 0:1.2-4.20130523.el7 を インストール
---> パッケージ libcgroup.x86_64 0:0.41-13.el7 を インストール
---> パッケージ libsemanage-python.x86_64 0:2.5-8.el7 を インストール
--> 依存性の処理をしています: libsemanage = 2.5-8.el7 のパッケージ: libsemanage-python-2.5-8.el7.x86_64
--> 依存性の処理をしています: libsemanage.so.1(LIBSEMANAGE_1.1)(64bit) のパッケージ: libsemanage-python-2.5-8.el7.x86_64
---> パッケージ policycoreutils.x86_64 0:2.2.5-20.el7 を 更新
---> パッケージ policycoreutils.x86_64 0:2.5-17.1.el7 を アップデート
---> パッケージ pyOpenSSL.x86_64 0:0.13.1-3.el7 を インストール
---> パッケージ python-IPy.noarch 0:0.75-6.el7 を インストール
---> パッケージ python-ndg_httpsclient.noarch 0:0.3.2-1.el7 を インストール
---> パッケージ python-requests.noarch 0:2.6.0-1.el7_1 を インストール
--> 依存性の処理をしています: python-urllib3 >= 1.10.2-1 のパッケージ: python-requests-2.6.0-1.el7_1.noarch
---> パッケージ python-zope-event.noarch 0:4.0.3-2.el7 を インストール
---> パッケージ python2-cryptography.x86_64 0:1.7.2-1.el7_4.1 を インストール
--> 依存性の処理をしています: python-idna >= 2.0 のパッケージ: python2-cryptography-1.7.2-1.el7_4.1.x86_64
--> 依存性の処理をしています: python-cffi >= 1.4.1 のパッケージ: python2-cryptography-1.7.2-1.el7_4.1.x86_64
--> 依存性の処理をしています: python-ipaddress のパッケージ: python2-cryptography-1.7.2-1.el7_4.1.x86_64
--> 依存性の処理をしています: python-enum34 のパッケージ: python2-cryptography-1.7.2-1.el7_4.1.x86_64
---> パッケージ python2-josepy.noarch 0:1.0.1-1.el7 を インストール
---> パッケージ python2-pyasn1.noarch 0:0.1.9-7.el7 を インストール
---> パッケージ python2-pyrfc3339.noarch 0:1.0-2.el7 を インストール
---> パッケージ pytz.noarch 0:2016.10-2.el7 を インストール
---> パッケージ setools-libs.x86_64 0:3.3.8-1.1.el7 を インストール
--> トランザクションの確認を実行しています。
---> パッケージ audit-libs.x86_64 0:2.4.1-5.el7 を 更新
--> 依存性の処理をしています: audit-libs = 2.4.1-5.el7 のパッケージ: audit-2.4.1-5.el7.x86_64
---> パッケージ audit-libs.x86_64 0:2.7.6-3.el7 を アップデート
---> パッケージ libsemanage.x86_64 0:2.1.10-18.el7 を 更新
---> パッケージ libsemanage.x86_64 0:2.5-8.el7 を アップデート
---> パッケージ python-cffi.x86_64 0:1.6.0-5.el7 を インストール
--> 依存性の処理をしています: python-pycparser のパッケージ: python-cffi-1.6.0-5.el7.x86_64
---> パッケージ python-enum34.noarch 0:1.0.4-1.el7 を インストール
---> パッケージ python-idna.noarch 0:2.4-1.el7 を インストール
---> パッケージ python-ipaddress.noarch 0:1.0.16-2.el7 を インストール
---> パッケージ python-urllib3.noarch 0:1.10.2-3.el7 を インストール
--> トランザクションの確認を実行しています。
---> パッケージ audit.x86_64 0:2.4.1-5.el7 を 更新
---> パッケージ audit.x86_64 0:2.7.6-3.el7 を アップデート
---> パッケージ python-pycparser.noarch 0:2.14-1.el7 を インストール
--> 依存性の処理をしています: python-ply のパッケージ: python-pycparser-2.14-1.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ python-ply.noarch 0:3.4-11.el7 を インストール
--> 衝突を処理しています: libsemanage-2.5-8.el7.x86_64 は selinux-policy-base < 3.13.1-66 と衝突しています
--> 新しい変更と依存性の解決を再開しています。
--> トランザクションの確認を実行しています。
---> パッケージ selinux-policy-targeted.noarch 0:3.13.1-60.el7_2.9 を 更新
---> パッケージ selinux-policy-targeted.noarch 0:3.13.1-166.el7_4.7 を アップデート
--> 依存性の処理をしています: selinux-policy = 3.13.1-166.el7_4.7 のパッケージ: selinux-policy-targeted-3.13.1-166.el7_4.7.noarch
--> 依存性の処理をしています: selinux-policy = 3.13.1-166.el7_4.7 のパッケージ: selinux-policy-targeted-3.13.1-166.el7_4.7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ selinux-policy.noarch 0:3.13.1-60.el7_2.9 を 更新
---> パッケージ selinux-policy.noarch 0:3.13.1-166.el7_4.7 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

=============================================================================================================================================================
Package                                        アーキテクチャー              バージョン                                リポジトリー                    容量
=============================================================================================================================================================
インストール中:
python2-certbot-nginx                          noarch                        0.21.1-1.el7                              epel                            59 k
更新します:
selinux-policy-targeted                        noarch                        3.13.1-166.el7_4.7                        updates                        6.5 M
依存性関連でのインストールをします:
audit-libs-python                              x86_64                        2.7.6-3.el7                               base                            73 k
certbot                                        noarch                        0.21.1-1.el7                              epel                            20 k
checkpolicy                                    x86_64                        2.5-4.el7                                 base                           290 k
dialog                                         x86_64                        1.2-4.20130523.el7                        base                           208 k
libcgroup                                      x86_64                        0.41-13.el7                               base                            65 k
libsemanage-python                             x86_64                        2.5-8.el7                                 base                           104 k
policycoreutils-python                         x86_64                        2.5-17.1.el7                              base                           446 k
pyOpenSSL                                      x86_64                        0.13.1-3.el7                              base                           133 k
pyparsing                                      noarch                        1.5.6-9.el7                               base                            94 k
python-IPy                                     noarch                        0.75-6.el7                                base                            32 k
python-cffi                                    x86_64                        1.6.0-5.el7                               base                           218 k
python-enum34                                  noarch                        1.0.4-1.el7                               base                            52 k
python-idna                                    noarch                        2.4-1.el7                                 base                            94 k
python-ipaddress                               noarch                        1.0.16-2.el7                              base                            34 k
python-ndg_httpsclient                         noarch                        0.3.2-1.el7                               epel                            43 k
python-parsedatetime                           noarch                        1.5-3.el7                                 epel                            61 k
python-ply                                     noarch                        3.4-11.el7                                base                           123 k
python-pycparser                               noarch                        2.14-1.el7                                base                           104 k
python-requests                                noarch                        2.6.0-1.el7_1                             base                            94 k
python-urllib3                                 noarch                        1.10.2-3.el7                              base                           101 k
python-zope-component                          noarch                        1:4.1.0-3.el7                             epel                           227 k
python-zope-event                              noarch                        4.0.3-2.el7                               epel                            79 k
python-zope-interface                          x86_64                        4.0.5-4.el7                               base                           138 k
python2-acme                                   noarch                        0.21.1-1.el7                              epel                           120 k
python2-certbot                                noarch                        0.21.1-1.el7                              epel                           475 k
python2-configargparse                         noarch                        0.11.0-1.el7                              epel                            30 k
python2-cryptography                           x86_64                        1.7.2-1.el7_4.1                           updates                        502 k
python2-dialog                                 noarch                        3.3.0-6.el7                               epel                            94 k
python2-future                                 noarch                        0.16.0-6.el7                              epel                           799 k
python2-josepy                                 noarch                        1.0.1-1.el7                               epel                            86 k
python2-mock                                   noarch                        1.0.1-9.el7                               epel                            92 k
python2-psutil                                 x86_64                        2.2.1-3.el7                               epel                           116 k
python2-pyasn1                                 noarch                        0.1.9-7.el7                               base                           100 k
python2-pyrfc3339                              noarch                        1.0-2.el7                                 epel                            13 k
pytz                                           noarch                        2016.10-2.el7                             base                            46 k
setools-libs                                   x86_64                        3.3.8-1.1.el7                             base                           612 k
依存性関連での更新をします:
audit                                          x86_64                        2.7.6-3.el7                               base                           242 k
audit-libs                                     x86_64                        2.7.6-3.el7                               base                            96 k
libsemanage                                    x86_64                        2.5-8.el7                                 base                           145 k
policycoreutils                                x86_64                        2.5-17.1.el7                              base                           858 k
selinux-policy                                 noarch                        3.13.1-166.el7_4.7                        updates                        437 k

トランザクションの要約
=============================================================================================================================================================
インストール  1 パッケージ (+36 個の依存関係のパッケージ)
更新          1 パッケージ (+ 5 個の依存関係のパッケージ)

総ダウンロード容量: 14 M
Is this ok [y/d/N]:

y
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
(1/43): audit-libs-2.7.6-3.el7.x86_64.rpm                                                                                             |  96 kB  00:00:00    
(2/43): audit-2.7.6-3.el7.x86_64.rpm                                                                                                  | 242 kB  00:00:00    
(3/43): audit-libs-python-2.7.6-3.el7.x86_64.rpm                                                                                      |  73 kB  00:00:00    
(4/43): checkpolicy-2.5-4.el7.x86_64.rpm                                                                                              | 290 kB  00:00:00    
(5/43): libcgroup-0.41-13.el7.x86_64.rpm                                                                                              |  65 kB  00:00:00    
(6/43): libsemanage-2.5-8.el7.x86_64.rpm                                                                                              | 145 kB  00:00:00    
(7/43): libsemanage-python-2.5-8.el7.x86_64.rpm                                                                                       | 104 kB  00:00:00    
(8/43): dialog-1.2-4.20130523.el7.x86_64.rpm                                                                                          | 208 kB  00:00:00    
(9/43): certbot-0.21.1-1.el7.noarch.rpm                                                                                               |  20 kB  00:00:00    
(10/43): policycoreutils-python-2.5-17.1.el7.x86_64.rpm                                                                               | 446 kB  00:00:00    
(11/43): policycoreutils-2.5-17.1.el7.x86_64.rpm                                                                                      | 858 kB  00:00:00    
(12/43): pyOpenSSL-0.13.1-3.el7.x86_64.rpm                                                                                            | 133 kB  00:00:00    
(13/43): pyparsing-1.5.6-9.el7.noarch.rpm                                                                                             |  94 kB  00:00:00    
(14/43): python-IPy-0.75-6.el7.noarch.rpm                                                                                             |  32 kB  00:00:00    
(15/43): python-cffi-1.6.0-5.el7.x86_64.rpm                                                                                           | 218 kB  00:00:00    
(16/43): python-enum34-1.0.4-1.el7.noarch.rpm                                                                                         |  52 kB  00:00:00    
(17/43): python-ndg_httpsclient-0.3.2-1.el7.noarch.rpm                                                                                |  43 kB  00:00:00    
(18/43): python-ipaddress-1.0.16-2.el7.noarch.rpm                                                                                     |  34 kB  00:00:00    
(19/43): python-idna-2.4-1.el7.noarch.rpm                                                                                             |  94 kB  00:00:00    
(20/43): python-ply-3.4-11.el7.noarch.rpm                                                                                             | 123 kB  00:00:00    
(21/43): python-pycparser-2.14-1.el7.noarch.rpm                                                                                       | 104 kB  00:00:00    
(22/43): python-zope-component-4.1.0-3.el7.noarch.rpm                                                                                 | 227 kB  00:00:00    
(23/43): python-urllib3-1.10.2-3.el7.noarch.rpm                                                                                       | 101 kB  00:00:00    
(24/43): python-requests-2.6.0-1.el7_1.noarch.rpm                                                                                     |  94 kB  00:00:00    
(25/43): python-zope-event-4.0.3-2.el7.noarch.rpm                                                                                     |  79 kB  00:00:00    
(26/43): python2-acme-0.21.1-1.el7.noarch.rpm                                                                                         | 120 kB  00:00:00    
(27/43): python-zope-interface-4.0.5-4.el7.x86_64.rpm                                                                                 | 138 kB  00:00:00    
(28/43): python-parsedatetime-1.5-3.el7.noarch.rpm                                                                                    |  61 kB  00:00:00    
(29/43): python2-certbot-0.21.1-1.el7.noarch.rpm                                                                                      | 475 kB  00:00:00    
(30/43): python2-certbot-nginx-0.21.1-1.el7.noarch.rpm                                                                                |  59 kB  00:00:00    
(31/43): python2-configargparse-0.11.0-1.el7.noarch.rpm                                                                               |  30 kB  00:00:00    
(32/43): python2-dialog-3.3.0-6.el7.noarch.rpm                                                                                        |  94 kB  00:00:00    
(33/43): python2-josepy-1.0.1-1.el7.noarch.rpm                                                                                        |  86 kB  00:00:00    
(34/43): python2-future-0.16.0-6.el7.noarch.rpm                                                                                       | 799 kB  00:00:00    
(35/43): python2-mock-1.0.1-9.el7.noarch.rpm                                                                                          |  92 kB  00:00:00    
(36/43): python2-psutil-2.2.1-3.el7.x86_64.rpm                                                                                        | 116 kB  00:00:00    
(37/43): python2-pyrfc3339-1.0-2.el7.noarch.rpm                                                                                       |  13 kB  00:00:00    
(38/43): python2-cryptography-1.7.2-1.el7_4.1.x86_64.rpm                                                                              | 502 kB  00:00:00    
(39/43): pytz-2016.10-2.el7.noarch.rpm                                                                                                |  46 kB  00:00:00    
(40/43): python2-pyasn1-0.1.9-7.el7.noarch.rpm                                                                                        | 100 kB  00:00:00    
(41/43): selinux-policy-3.13.1-166.el7_4.7.noarch.rpm                                                                                 | 437 kB  00:00:00    
(42/43): setools-libs-3.3.8-1.1.el7.x86_64.rpm                                                                                        | 612 kB  00:00:00    
(43/43): selinux-policy-targeted-3.13.1-166.el7_4.7.noarch.rpm                                                                        | 6.5 MB  00:00:00    
-------------------------------------------------------------------------------------------------------------------------------------------------------------
合計                                                                                                                         6.3 MB/s |  14 MB  00:00:02    
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
 更新します              : audit-libs-2.7.6-3.el7.x86_64                                                                                               1/49
 更新します              : libsemanage-2.5-8.el7.x86_64                                                                                                2/49
 更新します              : policycoreutils-2.5-17.1.el7.x86_64                                                                                         3/49
 インストール中          : python2-pyasn1-0.1.9-7.el7.noarch                                                                                           4/49
 インストール中          : pyOpenSSL-0.13.1-3.el7.x86_64                                                                                               5/49
 インストール中          : python-zope-interface-4.0.5-4.el7.x86_64                                                                                    6/49
 インストール中          : python-ndg_httpsclient-0.3.2-1.el7.noarch                                                                                   7/49
 更新します              : selinux-policy-3.13.1-166.el7_4.7.noarch                                                                                    8/49
 インストール中          : libsemanage-python-2.5-8.el7.x86_64                                                                                         9/49
 インストール中          : audit-libs-python-2.7.6-3.el7.x86_64                                                                                       10/49
 インストール中          : checkpolicy-2.5-4.el7.x86_64                                                                                               11/49
 インストール中          : setools-libs-3.3.8-1.1.el7.x86_64                                                                                          12/49
 インストール中          : python-enum34-1.0.4-1.el7.noarch                                                                                           13/49
 インストール中          : python-zope-event-4.0.3-2.el7.noarch                                                                                       14/49
 インストール中          : 1:python-zope-component-4.1.0-3.el7.noarch                                                                                 15/49
 インストール中          : python-ipaddress-1.0.16-2.el7.noarch                                                                                       16/49
 インストール中          : python2-mock-1.0.1-9.el7.noarch                                                                                            17/49
 インストール中          : python-parsedatetime-1.5-3.el7.noarch                                                                                      18/49
 インストール中          : python-ply-3.4-11.el7.noarch                                                                                               19/49
 インストール中          : python-pycparser-2.14-1.el7.noarch                                                                                         20/49
 インストール中          : python-cffi-1.6.0-5.el7.x86_64                                                                                             21/49
 インストール中          : python-idna-2.4-1.el7.noarch                                                                                               22/49
 インストール中          : python2-cryptography-1.7.2-1.el7_4.1.x86_64                                                                                23/49
 インストール中          : python2-josepy-1.0.1-1.el7.noarch                                                                                          24/49
 インストール中          : libcgroup-0.41-13.el7.x86_64                                                                                               25/49
 インストール中          : python-IPy-0.75-6.el7.noarch                                                                                               26/49
 インストール中          : policycoreutils-python-2.5-17.1.el7.x86_64                                                                                 27/49
 インストール中          : python-urllib3-1.10.2-3.el7.noarch                                                                                         28/49
 インストール中          : python-requests-2.6.0-1.el7_1.noarch                                                                                       29/49
 インストール中          : python2-pyrfc3339-1.0-2.el7.noarch                                                                                         30/49
 インストール中          : python2-psutil-2.2.1-3.el7.x86_64                                                                                          31/49
 インストール中          : dialog-1.2-4.20130523.el7.x86_64                                                                                           32/49
 インストール中          : python2-dialog-3.3.0-6.el7.noarch                                                                                          33/49
 インストール中          : pyparsing-1.5.6-9.el7.noarch                                                                                               34/49
 インストール中          : python2-future-0.16.0-6.el7.noarch                                                                                         35/49
 インストール中          : pytz-2016.10-2.el7.noarch                                                                                                  36/49
 インストール中          : python2-acme-0.21.1-1.el7.noarch                                                                                           37/49
 インストール中          : python2-configargparse-0.11.0-1.el7.noarch                                                                                 38/49
 インストール中          : python2-certbot-0.21.1-1.el7.noarch                                                                                        39/49
 インストール中          : certbot-0.21.1-1.el7.noarch                                                                                                40/49
libsemanage.semanage_read_policydb: Could not open kernel policy /etc/selinux/targeted/active/policy.kern for reading. (No such file or directory).
OSError: No such file or directory
 インストール中          : python2-certbot-nginx-0.21.1-1.el7.noarch                                                                                  41/49
 更新します              : selinux-policy-targeted-3.13.1-166.el7_4.7.noarch                                                                          42/49
`/etc/selinux/targeted/modules/active/seusers' -> `/etc/selinux/targeted/active/seusers.local'
 更新します              : audit-2.7.6-3.el7.x86_64                                                                                                   43/49
 整理中                  : selinux-policy-targeted-3.13.1-60.el7_2.9.noarch                                                                           44/49
 整理中                  : selinux-policy-3.13.1-60.el7_2.9.noarch                                                                                    45/49
 整理中                  : policycoreutils-2.2.5-20.el7.x86_64                                                                                        46/49
 整理中                  : libsemanage-2.1.10-18.el7.x86_64                                                                                           47/49
 整理中                  : audit-2.4.1-5.el7.x86_64                                                                                                   48/49
 整理中                  : audit-libs-2.4.1-5.el7.x86_64                                                                                              49/49
 検証中                  : python2-certbot-0.21.1-1.el7.noarch                                                                                         1/49
 検証中                  : python2-configargparse-0.11.0-1.el7.noarch                                                                                  2/49
 検証中                  : pytz-2016.10-2.el7.noarch                                                                                                   3/49
 検証中                  : python-ndg_httpsclient-0.3.2-1.el7.noarch                                                                                   4/49
 検証中                  : 1:python-zope-component-4.1.0-3.el7.noarch                                                                                  5/49
 検証中                  : python2-future-0.16.0-6.el7.noarch                                                                                          6/49
 検証中                  : policycoreutils-python-2.5-17.1.el7.x86_64                                                                                  7/49
 検証中                  : pyparsing-1.5.6-9.el7.noarch                                                                                                8/49
 検証中                  : python2-cryptography-1.7.2-1.el7_4.1.x86_64                                                                                 9/49
 検証中                  : dialog-1.2-4.20130523.el7.x86_64                                                                                           10/49
 検証中                  : audit-libs-2.7.6-3.el7.x86_64                                                                                              11/49
 検証中                  : pyOpenSSL-0.13.1-3.el7.x86_64                                                                                              12/49
 検証中                  : python2-psutil-2.2.1-3.el7.x86_64                                                                                          13/49
 検証中                  : python2-pyrfc3339-1.0-2.el7.noarch                                                                                         14/49
 検証中                  : python-zope-interface-4.0.5-4.el7.x86_64                                                                                   15/49
 検証中                  : python-urllib3-1.10.2-3.el7.noarch                                                                                         16/49
 検証中                  : python2-acme-0.21.1-1.el7.noarch                                                                                           17/49
 検証中                  : python-IPy-0.75-6.el7.noarch                                                                                               18/49
 検証中                  : libcgroup-0.41-13.el7.x86_64                                                                                               19/49
 検証中                  : audit-2.7.6-3.el7.x86_64                                                                                                   20/49
 検証中                  : policycoreutils-2.5-17.1.el7.x86_64                                                                                        21/49
 検証中                  : python-idna-2.4-1.el7.noarch                                                                                               22/49
 検証中                  : libsemanage-python-2.5-8.el7.x86_64                                                                                        23/49
 検証中                  : selinux-policy-3.13.1-166.el7_4.7.noarch                                                                                   24/49
 検証中                  : selinux-policy-targeted-3.13.1-166.el7_4.7.noarch                                                                          25/49
 検証中                  : python2-certbot-nginx-0.21.1-1.el7.noarch                                                                                  26/49
 検証中                  : python-cffi-1.6.0-5.el7.x86_64                                                                                             27/49
 検証中                  : python2-dialog-3.3.0-6.el7.noarch                                                                                          28/49
 検証中                  : libsemanage-2.5-8.el7.x86_64                                                                                               29/49
 検証中                  : python-ply-3.4-11.el7.noarch                                                                                               30/49
 検証中                  : python-pycparser-2.14-1.el7.noarch                                                                                         31/49
 検証中                  : certbot-0.21.1-1.el7.noarch                                                                                                32/49
 検証中                  : python-parsedatetime-1.5-3.el7.noarch                                                                                      33/49
 検証中                  : python2-mock-1.0.1-9.el7.noarch                                                                                            34/49
 検証中                  : python-ipaddress-1.0.16-2.el7.noarch                                                                                       35/49
 検証中                  : audit-libs-python-2.7.6-3.el7.x86_64                                                                                       36/49
 検証中                  : python-requests-2.6.0-1.el7_1.noarch                                                                                       37/49
 検証中                  : python-zope-event-4.0.3-2.el7.noarch                                                                                       38/49
 検証中                  : python-enum34-1.0.4-1.el7.noarch                                                                                           39/49
 検証中                  : python2-pyasn1-0.1.9-7.el7.noarch                                                                                          40/49
 検証中                  : python2-josepy-1.0.1-1.el7.noarch                                                                                          41/49
 検証中                  : setools-libs-3.3.8-1.1.el7.x86_64                                                                                          42/49
 検証中                  : checkpolicy-2.5-4.el7.x86_64                                                                                               43/49
 検証中                  : libsemanage-2.1.10-18.el7.x86_64                                                                                           44/49
 検証中                  : audit-2.4.1-5.el7.x86_64                                                                                                   45/49
 検証中                  : selinux-policy-targeted-3.13.1-60.el7_2.9.noarch                                                                           46/49
 検証中                  : audit-libs-2.4.1-5.el7.x86_64                                                                                              47/49
 検証中                  : selinux-policy-3.13.1-60.el7_2.9.noarch                                                                                    48/49
 検証中                  : policycoreutils-2.2.5-20.el7.x86_64                                                                                        49/49

インストール:
 python2-certbot-nginx.noarch 0:0.21.1-1.el7                                                                                                                

依存性関連をインストールしました:
 audit-libs-python.x86_64 0:2.7.6-3.el7             certbot.noarch 0:0.21.1-1.el7                      checkpolicy.x86_64 0:2.5-4.el7                    
 dialog.x86_64 0:1.2-4.20130523.el7                 libcgroup.x86_64 0:0.41-13.el7                     libsemanage-python.x86_64 0:2.5-8.el7              
 policycoreutils-python.x86_64 0:2.5-17.1.el7       pyOpenSSL.x86_64 0:0.13.1-3.el7                    pyparsing.noarch 0:1.5.6-9.el7                    
 python-IPy.noarch 0:0.75-6.el7                     python-cffi.x86_64 0:1.6.0-5.el7                   python-enum34.noarch 0:1.0.4-1.el7                
 python-idna.noarch 0:2.4-1.el7                     python-ipaddress.noarch 0:1.0.16-2.el7             python-ndg_httpsclient.noarch 0:0.3.2-1.el7        
 python-parsedatetime.noarch 0:1.5-3.el7            python-ply.noarch 0:3.4-11.el7                     python-pycparser.noarch 0:2.14-1.el7              
 python-requests.noarch 0:2.6.0-1.el7_1             python-urllib3.noarch 0:1.10.2-3.el7               python-zope-component.noarch 1:4.1.0-3.el7        
 python-zope-event.noarch 0:4.0.3-2.el7             python-zope-interface.x86_64 0:4.0.5-4.el7         python2-acme.noarch 0:0.21.1-1.el7                
 python2-certbot.noarch 0:0.21.1-1.el7              python2-configargparse.noarch 0:0.11.0-1.el7       python2-cryptography.x86_64 0:1.7.2-1.el7_4.1      
 python2-dialog.noarch 0:3.3.0-6.el7                python2-future.noarch 0:0.16.0-6.el7               python2-josepy.noarch 0:1.0.1-1.el7                
 python2-mock.noarch 0:1.0.1-9.el7                  python2-psutil.x86_64 0:2.2.1-3.el7                python2-pyasn1.noarch 0:0.1.9-7.el7                
 python2-pyrfc3339.noarch 0:1.0-2.el7               pytz.noarch 0:2016.10-2.el7                        setools-libs.x86_64 0:3.3.8-1.1.el7                

更新:
 selinux-policy-targeted.noarch 0:3.13.1-166.el7_4.7                                                                                                        

依存性を更新しました:
 audit.x86_64 0:2.7.6-3.el7                    audit-libs.x86_64 0:2.7.6-3.el7    libsemanage.x86_64 0:2.5-8.el7    policycoreutils.x86_64 0:2.5-17.1.el7  
 selinux-policy.noarch 0:3.13.1-166.el7_4.7  

完了しました!




$ certbot --nginx

 閲覧数:128 投稿日:2018-02-18 更新日:2018-02-19 
$ certbot --nginx
The following error was encountered:
[Errno 13] Permission denied: '/var/log/letsencrypt'
Either run as root, or set --config-dir, --work-dir, and --logs-dir to writeable paths.


$ sudo certbot --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):


自分のメールアドレスを入力
☆☆3@yahoo.co.jp
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel:


規約を読む
・取り敢えず開いてみたが、読めない
・英語なので
a
-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o:


Let's Encrypt project をやっている非営利団体にメールアドレスを共有しても良いなら y を入力
・嫌なら n を入力
・共有しても良いけれども、何のために共有するか分からないので
n

Which names would you like to activate HTTPS for?
-------------------------------------------------------------------------------
1: a.w4c.work
2: b.w4c.work
-------------------------------------------------------------------------------
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):


スペースキー入力後、Enter
Obtaining a new certificate
Resetting dropped connection: acme-v01.api.letsencrypt.org
Performing the following challenges:
http-01 challenge for a.w4c.work
http-01 challenge for b.w4c.work
Waiting for verification...
Cleaning up challenges
Deployed Certificate to VirtualHost /etc/nginx/conf.d/a.conf for a.w4c.work
Deployed Certificate to VirtualHost /etc/nginx/conf.d/b.conf for b.w4c.work

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):


httpアクセスがあった場合の処理を聞かれている
・1: httpsにリダイレクトさせない(httpを受け付けない)
・2: すべてhttpsにリダイレクトさせる
・httpでのアクセスを拒否してしまってもいいが、すでにhttpでブックマークされている場合などにアクセスできなくなってしまうので、リダイレクトさせる=2を選択


2
Redirecting all traffic on port 80 to ssl in /etc/nginx/conf.d/a.conf
Redirecting all traffic on port 80 to ssl in /etc/nginx/conf.d/b.conf

-------------------------------------------------------------------------------
Congratulations! You have successfully enabled https://a.w4c.work and
https://b.w4c.work

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=a.w4c.work
https://www.ssllabs.com/ssltest/analyze.html?d=b.w4c.work
-------------------------------------------------------------------------------

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/a.w4c.work/fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live/a.w4c.work/privkey.pem
  Your cert will expire on 2018-05-19. To obtain a new or tweaked
  version of this certificate in the future, simply run certbot again
  with the "certonly" option. To non-interactively renew *all* of
  your certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
  configuration directory at /etc/letsencrypt. You should make a
  secure backup of this folder now. This configuration directory will
  also contain certificates and private keys obtained by Certbot so
  making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

  Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
  Donating to EFF:                    https://eff.org/donate-le


ブラウザ経由でアクセスして動作確認

 閲覧数:112 投稿日:2018-02-18 更新日:2018-02-22 

https対応済み


http://a.w4c.work/
→「https://a.w4c.work/」へリダイレクトする
a


https://a.w4c.work/
a


http://b.w4c.work/
→「https://b.w4c.work/」へリダイレクトする
b


https://b.w4c.work/
b


上記以外


デフォルト
・https未対応

http://www.w4c.work/
hoge


https://www.w4c.work/
この接続ではプライバシーが保護されません

セキュリティで保護されたページに戻る


http://IPアドレス/
hoge


https://IPアドレス/
この接続ではプライバシーが保護されません

セキュリティで保護されたページに戻る


感想


この段階で動作確認できたことに驚く
・下記コマンドすら打っていないのに
# systemctl restart php-fpm
# systemctl restart nginx.service

Next


・変更箇所確認
・自動継続

変更箇所確認

 閲覧数:132 投稿日:2018-02-19 更新日:2018-02-19 

変更なし


詳細不明だが、恐らく「server_name」で(選択候補表示を)判断していると思われ
・「server_name  localhost;」と記述している「default.conf」は何も変更されていない
▼/etc/php-fpm.d/www.conf
▼/etc/nginx/conf.d/default.conf

変更あり


変更箇所には「# managed by Certbot」が付与される
$ cat /etc/nginx/conf.d/a.conf
server {
   server_name  a.w4c.work;
   root   /var/www/html/w4c.work/a.w4c.work;
   index  index.php index.html index.htm;
   #charset koi8-r;
   #access_log  /var/log/nginx/host.access.log  main;

   location / {
       #root   /usr/share/nginx/html;
       #index  index.html index.htm;
       try_files $uri $uri/ /index.php?$query_string;
   }

   #error_page  404              /404.html;

   # redirect server error pages to the static page /50x.html
   #
   error_page   500 502 503 504  /50x.html;
   location = /50x.html {
       root   /usr/share/nginx/html;
   }

   # proxy the PHP scripts to Apache listening on 127.0.0.1:80
   #
   #location ~ \.php$ {
   #    proxy_pass   http://127.0.0.1;
   #}

   # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
   #
   #location ~ \.php$ {
   #    root           html;
   #    fastcgi_pass   127.0.0.1:9000;
   #    fastcgi_index  index.php;
   #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
   #    include        fastcgi_params;
   #}

   # deny access to .htaccess files, if Apache's document root
   # concurs with nginx's one
   #
   #location ~ /\.ht {
   #    deny  all;
   #}

   location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        #fastcgi_pass unix:/var/run/php-fpm.sock;
        fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
        include fastcgi_params;
   }


   listen 443 ssl; # managed by Certbot
   ssl_certificate /etc/letsencrypt/live/a.w4c.work/fullchain.pem; # managed by Certbot
   ssl_certificate_key /etc/letsencrypt/live/a.w4c.work/privkey.pem; # managed by Certbot
   include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
   ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
   if ($host = a.w4c.work) {
       return 301 https://$host$request_uri;
   } # managed by Certbot


   listen       80;
   server_name  a.w4c.work;
   return 404; # managed by Certbot


}


$ cat /etc/nginx/conf.d/b.conf
server {
   server_name  b.w4c.work;
   root   /var/www/html/w4c.work/b.w4c.work;
   index  index.php index.html index.htm;
   #charset koi8-r;
   #access_log  /var/log/nginx/host.access.log  main;

   location / {
       #root   /usr/share/nginx/html;
       #index  index.html index.htm;
       try_files $uri $uri/ /index.php?$query_string;
   }

   #error_page  404              /404.html;

   # redirect server error pages to the static page /50x.html
   #
   error_page   500 502 503 504  /50x.html;
   location = /50x.html {
       root   /usr/share/nginx/html;
   }

   # proxy the PHP scripts to Apache listening on 127.0.0.1:80
   #
   #location ~ \.php$ {
   #    proxy_pass   http://127.0.0.1;
   #}

   # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
   #
   #location ~ \.php$ {
   #    root           html;
   #    fastcgi_pass   127.0.0.1:9000;
   #    fastcgi_index  index.php;
   #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
   #    include        fastcgi_params;
   #}

   # deny access to .htaccess files, if Apache's document root
   # concurs with nginx's one
   #
   #location ~ /\.ht {
   #    deny  all;
   #}

   location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        #fastcgi_pass unix:/var/run/php-fpm.sock;
        fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
        include fastcgi_params;
   }


   listen 443 ssl; # managed by Certbot
   ssl_certificate /etc/letsencrypt/live/a.w4c.work/fullchain.pem; # managed by Certbot
   ssl_certificate_key /etc/letsencrypt/live/a.w4c.work/privkey.pem; # managed by Certbot
   include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
   ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
   if ($host = b.w4c.work) {
       return 301 https://$host$request_uri;
   } # managed by Certbot


   listen       80;
   server_name  b.w4c.work;
   return 404; # managed by Certbot


}





Certbot
git clone しないで Certbot をインストールして Nginx を https にする

証明書の更新

 閲覧数:124 投稿日:2018-02-19 更新日:2018-02-21 

「certbot renew」動作確認


$ certbot renew
The following error was encountered:
[Errno 13] Permission denied: '/var/log/letsencrypt/.certbot.lock'
Either run as root, or set --config-dir, --work-dir, and --logs-dir to writeable paths.

$ sudo certbot renew
[sudo] password for : 
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/a.w4c.work.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal

-------------------------------------------------------------------------------

The following certs are not due for renewal yet:
 /etc/letsencrypt/live/a.w4c.work/fullchain.pem (skipped)
No renewals were attempted.


Let’s Encrypt で SSL証明書を自動更新したいのですが、cronとsystemdのcertbot.timerの違いについて
cron

2種類


cronを設定して更新を自動化
▼/etc/cron.d/letsencrypt
Let's Encryptを使ってSSL証明書を自動更新する(AWS/Amazon Linux/Apache)
Let's EncryptでSSLの設定〜自動更新
▼/etc/crontab
【CentOS7】Lets EncryptでSSL証明書を取得
crontab
Let’s Encrypt の証明書の更新を自動化する手順 (cron)
CertbotでSSL証明書の更新エラーが出たのでroot権限を与えて様子をみる。
その他
Let's Encrypt で Nginx にSSLを設定する

証明書をsystemd.timerを使い定期的に行う
certbot-renew.timer
let's Encryptの証明書更新 CentOS7編
shinayoshi's note
その他
Auto renew SSL Certificate with Certbot(Let’s Encrypt)
Let’s Encrypt
systemdでtimerの作り方(最小限のサンプル)
cron(crontab)の代わりにsystemdのtimerを使う
CentOS 7 で Let's Encrypt

$ ls -la /usr/bin/
lrwxrwxrwx    1 root root         18  2月 17 12:43 certbot -> /usr/bin/certbot-2
-rwxr-xr-x    1 root root        305  2月  3 06:07 certbot-2


$ rpm -ql certbot-nginx
パッケージ certbot-nginx はインストールされていません。


$ ls -la /usr/local/certbot
                                                                                                   
合計 348
drwxr-xr-x  24 root root  4096  2月  9 12:25 .
drwxr-xr-x. 13 root root  4096  2月  9 12:25 ..
-rw-r--r--   1 root root    27  2月  9 12:25 .coveragerc
-rw-r--r--   1 root root   318  2月  9 12:25 .dockerignore
drwxr-xr-x   8 root root   152  2月  9 12:25 .git
-rw-r--r--   1 root root   265  2月  9 12:25 .gitattributes
-rw-r--r--   1 root root   413  2月  9 12:25 .gitignore
-rw-r--r--   1 root root 10603  2月  9 12:25 .pylintrc
-rw-r--r--   1 root root  2821  2月  9 12:25 .travis.yml
-rw-r--r--   1 root root 11773  2月  9 12:25 AUTHORS.md
-rw-r--r--   1 root root 35467  2月  9 12:25 CHANGELOG.md
-rw-r--r--   1 root root   276  2月  9 12:25 CHANGES.rst
-rw-r--r--   1 root root  1402  2月  9 12:25 CONTRIBUTING.md
-rw-r--r--   1 root root   653  2月  9 12:25 Dockerfile
-rw-r--r--   1 root root  2949  2月  9 12:25 Dockerfile-dev
-rw-r--r--   1 root root  2999  2月  9 12:25 Dockerfile-old
-rw-r--r--   1 root root   527  2月  9 12:25 ISSUE_TEMPLATE.md
-rw-r--r--   1 root root 11456  2月  9 12:25 LICENSE.txt
-rw-r--r--   1 root root   238  2月  9 12:25 MANIFEST.in
-rw-r--r--   1 root root  7379  2月  9 12:25 README.rst
drwxr-xr-x   5 root root  4096  2月  9 12:25 acme
drwxr-xr-x   5 root root  4096  2月  9 12:25 certbot
drwxr-xr-x   4 root root  4096  2月  9 12:25 certbot-apache
-rwxr-xr-x   1 root root 61939  2月  9 12:25 certbot-auto
drwxr-xr-x   5 root root  4096  2月  9 12:25 certbot-compatibility-test
drwxr-xr-x   4 root root   130  2月  9 12:25 certbot-dns-cloudflare
drwxr-xr-x   4 root root   128  2月  9 12:25 certbot-dns-cloudxns
drwxr-xr-x   4 root root   132  2月  9 12:25 certbot-dns-digitalocean
drwxr-xr-x   4 root root   128  2月  9 12:25 certbot-dns-dnsimple
drwxr-xr-x   4 root root   131  2月  9 12:25 certbot-dns-dnsmadeeasy
drwxr-xr-x   4 root root   126  2月  9 12:25 certbot-dns-google
drwxr-xr-x   4 root root   126  2月  9 12:25 certbot-dns-luadns
drwxr-xr-x   4 root root   125  2月  9 12:25 certbot-dns-nsone
drwxr-xr-x   4 root root   127  2月  9 12:25 certbot-dns-rfc2136
drwxr-xr-x   6 root root  4096  2月  9 12:25 certbot-dns-route53
drwxr-xr-x   5 root root  4096  2月  9 12:25 certbot-nginx
-rw-r--r--   1 root root   360  2月  9 12:25 docker-compose.yml
drwxr-xr-x   6 root root  4096  2月  9 12:25 docs
drwxr-xr-x   3 root root   109  2月  9 12:25 examples
-rwxr-xr-x   1 root root 61939  2月  9 12:25 letsencrypt-auto
drwxr-xr-x   4 root root  4096  2月  9 12:25 letsencrypt-auto-source
drwxr-xr-x   4 root root  4096  2月  9 12:25 letshelp-certbot
-rw-r--r--   1 root root   813  2月  9 12:25 linter_plugin.py
-rw-r--r--   1 root root    27  2月  9 12:25 pytest.ini
-rw-r--r--   1 root root   494  2月  9 12:25 readthedocs.org.requirements.txt
-rw-r--r--   1 root root    59  2月  9 12:25 setup.cfg
-rw-r--r--   1 root root  4471  2月  9 12:25 setup.py
drwxr-xr-x   4 root root  4096  2月  9 12:25 tests
drwxr-xr-x   2 root root  4096  2月  9 12:25 tools
-rwxr-xr-x   1 root root  1849  2月  9 12:25 tox.cover.sh
-rw-r--r--   1 root root  6316  2月  9 12:25 tox.ini


作業開始


毎週火曜の3時にrenewを起動
・その後Nginx再起動
$ sudo vi /etc/cron.d/letsencrypt
0 3 * * 2 root /usr/bin/certbot renew && systemctl restart nginx


確認


cron.d/*ファイル確認
$ ls -la /etc/cron.d/letsencrypt
-rw-r--r-- 1 root root 65  2月 21 13:29 /etc/cron.d/letsencrypt


所有者
・rootであることを確認

permission
・所有者以外に書き込み権限(w)がないことを確認
・644

r
・readのr

w
・writeのw

Let’s Encrypt で SSL証明書を自動更新したいのですが、cron設定する際のcertbotのパス指定について
Let’s Encrypt の証明書の更新を自動化する手順 (cron)

cronでcertbot renewの--force-renewalを使用してはいけない

cron

・起動確認
$ service crond status
Redirecting to /bin/systemctl status  crond.service
● crond.service - Command Scheduler
Loaded: loaded (/usr/lib/systemd/system/crond.service; enabled; vendor preset: enabled)
Active: active (running) since 金 2018-02-09 12:27:08 JST; 1 weeks 5 days ago
Main PID: 1879 (crond)
CGroup: /system.slice/crond.service
└─1879 /usr/sbin/crond -n





6回目-10.Nginxでバーチャルホスト設定確認

6回目-12.新規サブドメイン追加 + Let's Encryptの無料SSL導入



週間人気ページランキング / 9-18 → 9-24
順位 ページタイトル抜粋 アクセス数
1 Nginx設定。エラーログレベル | Nginx(Webサーバ) 17
2 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 14
3 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 12
4 PHPのmb_send_mail関数でメール送信できない | メール処理システム 10
5 ImageMagick と imagick の違い | ImageMagick(ソフトウェアスイート) 9
6 さくらVPS0 8
6 tar: これは tar アーカイブではないようです 8
7 manページ日本語表示 | CentOS 7 (CentOS) 7
7 Reached target Shutdown メッセージが表示されたあと、シャットダウンまたは再起動プロセスがハングアップする | CentOS 7 (CentOS) 7
8 ABRT により 問題が検出されました | CentOS 7 (CentOS) 6
8 PHPファイルでchmodエラー | PHP(プログラミング言語) 6
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 6
8 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 6
9 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 5
9 echo と cat の違い 5
10 phpMyAdmin 4.4.3(phpMyAdmin) カテゴリー 4
10 6回目-10.Nginxでバーチャルホスト設定確認 | CentOS 7 2週間無料のお試し期間 6回目(さくらVPS) 4
10 「さくらVPS」で、「CentOS6」を「CentOS7」へ変更するためには? | CentOS 7 2週間無料のお試し期間 Link(さくらVPS) 4
10 cronで定期実行しているphpファイルを、コマンドライン経由で即時実行する | cron(Linuxコマンド) 4
10 MySQL 5.5 から 5.6 へのアップグレード | MySQL(データベース) 4
2021/9/25 1:01 更新