2019/1/28「Action required: Let's Encrypt certificate renewals」メール受信

セキュリティLet's Encrypt

目次一覧

 状態:-  閲覧数:332  投稿日:2019-01-29  更新日:2019-05-21
2019/1/28「 Action required: Let's Encrypt certificate renewals」メール受信 / 2019/1/29時点のCertbotバージョンを確認 / Certbot最新版にアップデート

テスト用のSSL/TLSサーバ証明書を取得

2019/1/28「 Action required: Let's Encrypt certificate renewals」メール受信 / 2019/1/29時点のCertbotバージョンを確認 / Certbot最新版にアップデート

 閲覧数:127 投稿日:2019-01-29 更新日:2019-05-21 

2019/1/28「 Action required: Let's Encrypt certificate renewals」メール受信


Action required: Let's Encrypt certificate renewals
・英語本文
Hello,

Action may be required to prevent your Let's Encrypt certificate renewals
from breaking.

If you already received a similar e-mail, this one contains updated
information.

Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):

a.w4c.work (さくらVPSのIPアドレス) on 2018-12-17

TLS-SNI-01 validation is reaching end-of-life. It will stop working
temporarily on February 13th, 2019, and permanently on March 13th, 2019.
Any certificates issued before then will continue to work for 90 days
after their issuance date.

You need to update your ACME client to use an alternative validation
method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your
certificate renewals will break and existing certificates will start to
expire.

Our staging environment already has TLS-SNI-01 disabled, so if you'd like
to test whether your system will work after February 13, you can run
against staging: https://letsencrypt.org/docs/staging-environment/

If you're a Certbot user, you can find more information here:
https://community.letsencrypt.org/t/how-to-stop-using-tls-sni-01-with-certbot/83210

Our forum has many threads on this topic. Please search to see if your
question has been answered, then open a new thread if it has not:
https://community.letsencrypt.org/

For more information about the TLS-SNI-01 end-of-life please see our API
announcement:
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Thank you,
Let's Encrypt Staff


・日本語訳
こんにちは、

Let's Encrypt証明書の更新が中断しないようにするための措置が必要な場合がある。
あなたがすでに同じようなEメールを受け取っているならば、これは更新された情報を含む。
Let's Encryptクライアントが過去60日間に証明書を発行するためにACME TLS-SNI-01ドメイン検証を使用した。
以下は、検証された名前とIPアドレスのリストだ(アカウントごとに最大1つ)。

2018-12-17上のa.w4c.work(さくらVPSのIPアドレス)

TLS-SNI-01の検証は廃止予定だ。動作しなくなる。
2019年2月13日に一時的に、そして2019年3月13日に永久に。
それ以前に発行された証明書は、発行日から90日間有効だ。

別の検証を使用するようにACMEクライアントを更新する必要がある。
この日付以前にACMEクライアントを更新して、別の検証方法(HTTP-01、DNS-01、またはTLS-ALPN-01)を使用する必要がある。
証明書の更新は中断され、既存の証明書は期限切れになる。

私たちのステージング環境では既にTLS-SNI-01が無効になっているので、あなたのシステムが2月13日以降に動作するかどうかをテストしたい場合は、ステージングに対して実行できる。https://letsencrypt.org/docs/staging-environment/

あなたがCertbotユーザーであるなら、あなたはここでより多くの情報を見つけることができる:
https://community.letsencrypt.org/t/how-to-stop-using-tls-sni-01-with-certbot/83210

私たちのフォーラムにはこのトピックに関する多くのスレッドがある。あなたの質問が答えられたかどうかを確かめるために検索し、そうでなければ新しいスレッドを開いてくれ。
https://community.letsencrypt.org/

TLS-SNI-01のサポート終了についての詳細は当社のAPIを見てくれ。
発表:
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

ありがとうございました、
Let's Encrypt スタッフ


2019/1/29時点のCertbotバージョンを確認


$ certbot --version
certbot 0.22.0


Certbot最新版にアップデート


$ yum update certbot
読み込んだプラグイン:fastestmirror, langpacks
このコマンドを実行するには root である必要があります。

$ sudo -s
# yum update certbot
読み込んだプラグイン:fastestmirror, langpacks
base                                                                                        | 3.6 kB  00:00:00    
epel/x86_64/metalink                                                                        | 8.4 kB  00:00:00    
epel                                                                                        | 4.7 kB  00:00:00    
extras                                                                                      | 3.4 kB  00:00:00    
ius                                                                                         | 2.3 kB  00:00:00    
mysql-connectors-community                                                                  | 2.5 kB  00:00:00    
mysql-tools-community                                                                       | 2.5 kB  00:00:00    
mysql57-community                                                                           | 2.5 kB  00:00:00    
nginx                                                                                       | 2.9 kB  00:00:00    
remi-safe                                                                                   | 3.0 kB  00:00:00    
updates                                                                                     | 3.4 kB  00:00:00    
(1/7): epel/x86_64/updateinfo                                                               | 954 kB  00:00:00    
(2/7): mysql-connectors-community/x86_64/primary_db                                         |  33 kB  00:00:00    
(3/7): extras/7/x86_64/primary_db                                                           | 156 kB  00:00:00    
(4/7): ius/x86_64/primary_db                                                                | 377 kB  00:00:00    
(5/7): updates/7/x86_64/primary_db                                                          | 1.4 MB  00:00:00    
(6/7): epel/x86_64/primary_db                                                               | 6.6 MB  00:00:01    
(7/7): remi-safe/primary_db                                                                 | 1.4 MB  00:00:01    
Loading mirror speeds from cached hostfile
* base: ftp.riken.jp
* epel: www.ftp.ne.jp
* extras: ftp.riken.jp
* ius: mirrors.kernel.org
* remi-safe: ftp.riken.jp
* updates: ftp.riken.jp
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ certbot.noarch 0:0.22.0-1.el7 を 更新
---> パッケージ certbot.noarch 0:0.29.1-1.el7 を アップデート
--> 依存性の処理をしています: python2-certbot = 0.29.1-1.el7 のパッケージ: certbot-0.29.1-1.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ python2-certbot.noarch 0:0.22.0-1.el7 を 更新
---> パッケージ python2-certbot.noarch 0:0.29.1-1.el7 を アップデート
--> 依存性の処理をしています: python2-acme >= 0.26.0 のパッケージ: python2-certbot-0.29.1-1.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ python2-acme.noarch 0:0.22.0-1.el7 を 更新
---> パッケージ python2-acme.noarch 0:0.29.1-1.el7 を アップデート
--> 依存性の処理をしています: python-requests-toolbelt のパッケージ: python2-acme-0.29.1-1.el7.noarch
--> トランザクションの確認を実行しています。
---> パッケージ python-requests-toolbelt.noarch 0:0.8.0-1.el7 を インストール
--> 依存性解決を終了しました。

依存性を解決しました

===================================================================================================================
Package                                アーキテクチャー     バージョン                   リポジトリー        容量
===================================================================================================================
更新します:
certbot                                noarch               0.29.1-1.el7                 epel                36 k
依存性関連でのインストールをします:
python-requests-toolbelt               noarch               0.8.0-1.el7                  epel                77 k
依存性関連での更新をします:
python2-acme                           noarch               0.29.1-1.el7                 epel               146 k
python2-certbot                        noarch               0.29.1-1.el7                 epel               545 k

トランザクションの要約
===================================================================================================================
インストール               ( 1 個の依存関係のパッケージ)
更新          1 パッケージ (+2 個の依存関係のパッケージ)

総ダウンロード容量: 805 k
Is this ok [y/d/N]:


y
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
(1/4): certbot-0.29.1-1.el7.noarch.rpm                                                      |  36 kB  00:00:00    
(2/4): python-requests-toolbelt-0.8.0-1.el7.noarch.rpm                                      |  77 kB  00:00:00    
(3/4): python2-acme-0.29.1-1.el7.noarch.rpm                                                 | 146 kB  00:00:00    
(4/4): python2-certbot-0.29.1-1.el7.noarch.rpm                                              | 545 kB  00:00:00    
-------------------------------------------------------------------------------------------------------------------
合計                                                                               1.0 MB/s | 805 kB  00:00:00    
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
 インストール中          : python-requests-toolbelt-0.8.0-1.el7.noarch                                        1/7
 更新します              : python2-acme-0.29.1-1.el7.noarch                                                   2/7
 更新します              : python2-certbot-0.29.1-1.el7.noarch                                                3/7
 更新します              : certbot-0.29.1-1.el7.noarch                                                        4/7
SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.
SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.30:  No such file or directory
/sbin/load_policy:  Can't load policy:  No such file or directory
libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).
SELinux:  Could not downgrade policy file /etc/selinux/targeted/policy/policy.30, searching for an older version.
SELinux:  Could not open policy file <= /etc/selinux/targeted/policy/policy.30:  No such file or directory
/sbin/load_policy:  Can't load policy:  No such file or directory
libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory).
OSError: No such file or directory
 整理中                  : certbot-0.22.0-1.el7.noarch                                                        5/7
 整理中                  : python2-certbot-0.22.0-1.el7.noarch                                                6/7
 整理中                  : python2-acme-0.22.0-1.el7.noarch                                                   7/7
 検証中                  : certbot-0.29.1-1.el7.noarch                                                        1/7
 検証中                  : python-requests-toolbelt-0.8.0-1.el7.noarch                                        2/7
 検証中                  : python2-acme-0.29.1-1.el7.noarch                                                   3/7
 検証中                  : python2-certbot-0.29.1-1.el7.noarch                                                4/7
 検証中                  : python2-certbot-0.22.0-1.el7.noarch                                                5/7
 検証中                  : python2-acme-0.22.0-1.el7.noarch                                                   6/7
 検証中                  : certbot-0.22.0-1.el7.noarch                                                        7/7

依存性関連をインストールしました:
 python-requests-toolbelt.noarch 0:0.8.0-1.el7                                                                    

更新:
 certbot.noarch 0:0.29.1-1.el7                                                                                    

依存性を更新しました:
 python2-acme.noarch 0:0.29.1-1.el7                     python2-certbot.noarch 0:0.29.1-1.el7                    

完了しました!

# certbot --version
certbot 0.29.1


更新設定からtls-sni-01への明示的な参照を削除する
・2019/4/18実行
$ sudo sh -c "sed -i.bak -e 's/^\(pref_challs.*\)tls-sni-01\(.*\)/\1http-01\2/g' /etc/letsencrypt/renewal/*; rm -f /etc/letsencrypt/renewal/*.bak"


テスト用のSSL/TLSサーバ証明書を取得

 閲覧数:122 投稿日:2019-01-29 更新日:2019-05-21 

テスト用のSSL/TLSサーバ証明書を取得


# certbot renew --dry-run

The key authorization file from the server did not match this challenge
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/a.example.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator nginx, Installer nginx
Starting new HTTPS connection (1): acme-staging-v02.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for a.example.com
http-01 challenge for b.example.com
http-01 challenge for c.example.org
nginx: [warn] duplicate MIME type "application/json" in /etc/nginx/nginx.conf:64
Waiting for verification...
Cleaning up challenges
nginx: [warn] duplicate MIME type "application/json" in /etc/nginx/nginx.conf:62
nginx: [warn] could not build optimal server_names_hash, you should increase either server_names_hash_max_size: 512 or server_names_hash_bucket_size: 64; ignoring server_names_hash_bucket_size
Attempting to renew cert (a.example.com) from /etc/letsencrypt/renewal/a.example.com.conf produced an unexpected error: Failed authorization procedure. c.example.org (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: The key authorization file from the server did not match this challenge
//中略

All renewal attempts failed. The following certs could not be renewed:
 /etc/letsencrypt/live/a.example.com/fullchain.pem (failure)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

All renewal attempts failed. The following certs could not be renewed:
 /etc/letsencrypt/live/a.example.com/fullchain.pem (failure)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)

IMPORTANT NOTES:
- The following errors were reported by the server:

  Domain: c.example.org
  Type:   unauthorized
  Detail: The key authorization file from the server did not match
  this challenge
  [gzq1xxxx_SS2uxxxx_Hl99xxxx.IrT9xxxx]
//中略

  To fix these errors, please make sure that your domain name was
  entered correctly and the DNS A/AAAA record(s) for that domain
  contain(s) the right IP address.
- Your account credentials have been saved in your Certbot
  configuration directory at /etc/letsencrypt. You should make a
  secure backup of this folder now. This configuration directory will
  also contain certificates and private keys obtained by Certbot so
  making regular backups of this folder is ideal.


Congratulations
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/a.example.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator nginx, Installer nginx
Starting new HTTPS connection (1): acme-staging-v02.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for a.example.com
http-01 challenge for b.example.com
http-01 challenge for c.example.org
Waiting for verification...
Cleaning up challenges
Resetting dropped connection: acme-staging-v02.api.letsencrypt.org

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed with reload of nginx server; fullchain is
/etc/letsencrypt/live/a.example.com/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

Congratulations, all renewals succeeded. The following certs have been renewed:
 /etc/letsencrypt/live/a.example.com/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -



2018/5/22「Let's Encrypt certificate expiration notice for domain」メール受信

Let's Encryptでワイルドカード証明書の取得に成功したが、無料SSL導入に失敗



週間人気ページランキング / 9-19 → 9-25
順位 ページタイトル抜粋 アクセス数
1 Nginx設定。エラーログレベル | Nginx(Webサーバ) 16
2 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 15
3 PHPのmb_send_mail関数でメール送信できない | メール処理システム 11
4 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 10
5 tar: これは tar アーカイブではないようです 8
5 ImageMagick と imagick の違い | ImageMagick(ソフトウェアスイート) 8
5 さくらVPS0 8
6 manページ日本語表示 | CentOS 7 (CentOS) 7
6 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 7
7 ABRT により 問題が検出されました | CentOS 7 (CentOS) 6
7 Reached target Shutdown メッセージが表示されたあと、シャットダウンまたは再起動プロセスがハングアップする | CentOS 7 (CentOS) 6
7 PHPファイルでchmodエラー | PHP(プログラミング言語) 6
7 echo と cat の違い 6
8 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 5
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 5
8 「CentOS6」から「CentOS7」への移行 | CentOS 7 (CentOS) 5
8 「さくらVPS」で、「CentOS6」を「CentOS7」へ変更するためには? | CentOS 7 2週間無料のお試し期間 Link(さくらVPS) 5
9 6回目-10.Nginxでバーチャルホスト設定確認 | CentOS 7 2週間無料のお試し期間 6回目(さくらVPS) 4
9 cronで定期実行しているphpファイルを、コマンドライン経由で即時実行する | cron(Linuxコマンド) 4
9 MySQL 5.5 から 5.6 へのアップグレード | MySQL(データベース) 4
2021/9/26 1:01 更新