Let's Encrypt 更新要点

セキュリティLet's Encrypt

目次一覧

 状態:-  閲覧数:391  投稿日:2019-05-08  更新日:2019-05-21
「SSL証明書」を取得しているホストを確認 /「SSL証明書」有効期間の終了日確認 / 更新の流れ

Let's Encrypt certificate expiration notice for domain メールを受信したら / Let's Encrypt certificate expiration notice for domain メール対応 / Let's Encrypt certificate expiration notice for domain メール対応の注意点1

Let's Encrypt certificate expiration notice for domain メール対応の注意点2

「SSL証明書」を取得しているホストを確認 /「SSL証明書」有効期間の終了日確認 / 更新の流れ

 閲覧数:117 投稿日:2019-05-08 更新日:2019-05-21 

「SSL証明書」を取得しているホストを確認


certbotが管理している証明書の情報を表示
$ sudo certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
 Certificate Name: e.example.org
   Domains: e.example.org
   Expiry Date: 2019-07-08 16:16:24+00:00 (VALID: 48 days)
   Certificate Path: /etc/letsencrypt/live/e.example.org/fullchain.pem
   Private Key Path: /etc/letsencrypt/live/e.example.org/privkey.pem
 Certificate Name: g.example.net
   Domains: g.example.net
   Expiry Date: 2019-07-18 14:51:13+00:00 (VALID: 58 days)
   Certificate Path: /etc/letsencrypt/live/g.example.net/fullchain.pem
   Private Key Path: /etc/letsencrypt/live/g.example.net/privkey.pem
 Certificate Name: p.example.com
   Domains: p.example.com
   Expiry Date: 2019-07-01 19:40:02+00:00 (VALID: 41 days)
   Certificate Path: /etc/letsencrypt/live/p.example.com/fullchain.pem
   Private Key Path: /etc/letsencrypt/live/p.example.com/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -


$ sudo ls -l /etc/letsencrypt/live/
合計 4
-rw-r--r-- 1 root root 740  2月  1 08:55 README
drwxrwxrwx 2 root root   6  4月 13 01:56 a.example.com
drwxr-xr-x 2 root root  88  4月 10 02:16 e.example.org
drwxr-xr-x 2 root root  88  4月 20 00:51 g.example.net
drwxr-xr-x 2 root root  88  4月  3 05:40 p.example.com


「SSL証明書」有効期間の終了日確認


ブラウザの鍵アイコンをクリック後、「証明書」をクリックする

更新の流れ


90日間の証明書
・有効期限が切れる30日前より更新できる

renew を実行すると
・これまでに取得した全ての証明書の期限がチェックされ、30日以内に期限が切れるものを自動的に更新する

cronで「certbot renew」設定しているため、有効期限が切れる30日前になった時点で、「SSL証明書」を自動更新する
$ cat /etc/cron.d/letsencrypt
1 4 * * * root /usr/bin/certbot renew && systemctl restart nginx


Let's Encrypt certificate expiration notice for domain メールを受信したら / Let's Encrypt certificate expiration notice for domain メール対応 / Let's Encrypt certificate expiration notice for domain メール対応の注意点1

 閲覧数:125 投稿日:2019-05-08 更新日:2019-05-21 

Let's Encrypt certificate expiration notice for domain メールを受信したら


対応が必要
・cron実行しても、「SSL証明書」が更新されなかったことを意味する

何も対応を行わず放置したままにしていると?
・やがて「SSL証明書」は失効する
・具体的には、httpsではアクセス出来なくなる(httpになる)

Let's Encrypt certificate expiration notice for domain メール対応


下記コマンドを打ち、更新のテストを行う
・エラーが表示されるため、Congratulationsが表示されるよう、対応
※Congratulationsが表示されるまで、エラーを一つずつ潰していく
$ sudo certbot renew --dry-run
Congratulations, all renewals succeeded. The following certs have been renewed:


Let's Encrypt certificate expiration notice for domain メール対応の注意点1


メールに掲載されているドメインは一蓮托生

具体例
・下記メールの場合、「a.example.com」「b.example.com」「c.example.net」へは全てアクセスできる状態でなければいけない
※「a.example.com」「b.example.com」「c.example.net」の3つに対して1つの「SSL証明書」を発行しているから
We recommend renewing certificates automatically when they have a third of their
total lifetime left. For Let's Encrypt's current 90-day certificates, that means
renewing 30 days before expiration. See
https://letsencrypt.org/docs/integration-guide/ for details.

a.example.com
b.example.com
c.example.net


Let's Encrypt certificate expiration notice for domain メール対応の注意点2

 閲覧数:130 投稿日:2019-05-21 更新日:2019-05-21 

Let's Encrypt certificate expiration notice for domain メール対応の注意点2


登録解除リンクをクリックしてはいけない
・「このEメールを誤って受信している場合は、http://mandrillapp.com/track/unsub.php?u=xxxx&id=xxxx&r=xxxxで購読を中止してください。」と書かれている
・リンククリックするといきなり登録解除されるため、注意が必要

メール内のリンク表示
If you are receiving this email in error, unsubscribe at http://mandrillapp.com/track/unsub.php?u=xxxx&id=xxxx&r=xxxx


リンククリック後のブラウザ画面表示
・あなたは退会しました。
・あなたのメールアドレスxxxx7@yahoo.co.jpは、私たちのメーリングリストから削除されました。申し訳ありませんが、お客様のアドレスにこれ以上メールを送信することはありません。
You've been unsubscribed.
Your email address, xxxx7@yahoo.co.jp, has been removed from our mailing list. We're sorry to see you go, but we won't be sending any more email to your address.


誤って登録解除リンクをクリックしてしまった場合は?
・新たなメールアドレスを登録する
$ sudo certbot update_account --email メールアドレス


Let's Encrypt × systemd.timer

Let's Encrypt。各種パス



週間人気ページランキング / 9-11 → 9-17
順位 ページタイトル抜粋 アクセス数
1 PHPのmb_send_mail関数でメール送信できない | メール処理システム 28
2 Nginx設定。エラーログレベル | Nginx(Webサーバ) 26
3 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 12
4 さくらVPS0 11
4 PHP Version 7.1.2 php-mecabエクステンション対応 / PHP 7.0.14 からのアップグレード  | MeCab(形態素解析) 11
4 ソースからビルドしたPython 2.7.3 アンインストール失敗 | Python(プログラミング言語) 11
5 touch コマンド / viコマンド。新規ファイル作成時の違い | Linuxコマンド 10
6 PHPファイルでchmodエラー | PHP(プログラミング言語) 7
7 php-mysql インストールできない 6
7 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 6
7 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 6
7 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 6
8 さくらVPSへは「http://localhost」でアクセス出来ない | さくらVPSにてWebサービス運営(さくらVPS) 5
8 CentOSでcpコマンド動作確認するためには、Control + T ではなく、 -v オプションを使用 | cp(Linuxコマンド) 5
8 HTTPレスポンスヘッダ | HTTP(通信プロトコル) 5
8 mailxとは? / インストール済か確認 / mailコマンドの実体はmailxコマンド 5
9 tar: これは tar アーカイブではないようです 4
9 Postfix | メール処理システム 4
9 499 (Request has been forbidden by antivirus) | HTTP(通信プロトコル) 4
9 imagick 3.1.2 を imagick 3.2.0RC1 へ pecl アップデート | ImageMagick(ソフトウェアスイート) 4
2021/9/18 1:01 更新