在宅プログラマーの備忘録として2005年に始めたブログです。
certbot renewでエラーが出るドメインがありました。
いろいろと試すたびにエラーの種類が変わり、最終的に
|
1 |
Type: unauthorized |
このエラーに落ち着きました。
いろいろ調べて試しても解決できなかったのですが、
私の場合、ウェブルートをオプションで明示的に指定すると解決しました。
|
1 |
--webroot -w (ウェブルートを指定) |
一度手動で成功すれば、後日
|
1 |
certbot renew |
で一括更新してもうまくいきました。
先日Let’s EncryptのログにWarningが出ていました。
|
1 2 3 4 5 6 7 8 9 |
WARNING: couldn't find Python 2.6+ to check for updates. Skipping upgrade because new OS dependencies may need to be installed. To upgrade to a newer version, please run this script again manually so you can approve changes or with --non-interactive on the command line to automatically install any required packages. /opt/eff.org/certbot/venv/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6 DeprecationWarning Saving debug log to /var/log/letsencrypt/letsencrypt.log |
証明書の更新はできていますが、
Let’s Encrypt自身のアップグレードでWarningが出ていたようです。
アップグレードするには、現在インストールされているPython2.6はサポートが廃止される予定なので
まずはPythonをアップグレードしろとのこと。
しかしCentOS6の標準では2.6までしか入りませんのでリポジトリのインストールから始めます。
リポジトリのインストール
|
1 |
yum -y install centos-release-scl-rh |
Python2.7のインストール
|
1 |
yum -y install python27 |
これだけではpythonコマンド使用時のバージョンは2.7になりません。
2.7が自動的に有効になるように設定しましょう。
|
1 2 |
echo 'source /opt/rh/python27/enable' > /etc/profile.d/python27.sh source /etc/profile |
これで~/certbot-auto renewを実行すれば
Let’s EncryptのrenewコマンドでLet’s Encrypt自身のアップグレードもされるようになりました。
しかし、自動更新はたいていの場合、cronで設定されているかと思います。
cronで実行される場合はまだpython2.7が有効になっていません。
cronで実行するコマンドでpython2.7を有効にするには
crontabでの記述を次のようにします。
|
1 |
0 5 * * * ~/certbot-auto renew |
↓
|
1 |
0 5 * * * scl enable python27 "~/certbot-auto renew" |
(毎日AM5時にrenewを実行する場合)
SSL証明書を無料で取得できるLet’s Encryptで、
サーバー移行やサイト閉鎖などによって証明書が不要になった場合は
revokeオプションで対象のドメインの証明書を削除する必要があります。
証明書の更新はcronで自動更新していると思いますので
ある日ログを確認したらエラーが出続けていたということがないよう、忘れずに証明書を削除しましょう。
certbot-autoのrevokeオプションを実行するだけです。
|
1 |
~/certbot-auto revoke --cert-path /etc/letsencrypt/archive/www.example.com/cert1.pem |
certbotの古いバージョンではfullchainなどのファイルに対してもrevokeが必要でしたが
最新のcertbotではcert1.pemを削除するだけでOKです。この状態で
|
1 |
~/certbot-auto renew |
を実行すれば
revokeしたドメインは更新対象から外れています。
あとは、Apacheなどのバーチャルホストの設定の変更も忘れないようにしましょう。
そのままだと削除した証明書をロードしようとしてエラーとなり
ウェブサーバーが起動できないという事態になってしまいます。
CentOS5でシステムを運用しています。2010年にリリースしたシステムです。
新しいOSに乗り換えるべきなんですが、いろいろと複雑な事情があり、もう少し延命しなければなりません。
このシステムのSSL証明書を、無料のLet’s Encryptで取得することになりました。
Let’s Encryptについての記事はこちら
また、同じサーバー上で、
本番環境の「www.ドメイン名」とステージング環境の「stage.ドメイン名」が動いており、
マルチドメイン証明書を取得することにしました。
しかし、OSが古いことが原因で、途中さまざまな壁にあたり、都度、対処が必要でした。
以下、備忘録です。
まず、Let’s Encryptを利用するために公式の「certbot」というツールがあるのですが、
これがCentOS6以降でないと使えません。
いきなりの壁です。
しかし、CentOS5でも使える「dehydrated」という非公式のツールがありますので
こちらを使ってSSL証明書を取得することにします。
dehydratedはgitでインストールしますが、
CentOS5では標準でgitはありません。
そこでgitのインストールから始めます。
CentOS5にgitをインストールするため、EPELリポジトリを追加します。
しかし、ここでまた問題が。
CentOS5は2017年3月31日でサポートが終了したため
公開していたミラーサイトからリポジトリが削除されています。
そこで、古いOSをyumリポジトリとして公開している
http://vault.centos.org/
というサイトがありますので
そこをyumリポジトリに追加してgitをインストールします。
|
1 |
/etc/yum.repos.d/CentOS-Base.repo |
を開きます。
|
1 |
mirrorlist=(省略) |
という行がいくつかあります。
この行をコメントアウトし、代わりに次の行を追加します。
|
1 |
baseurl=http://vault.centos.org/5.5/os/$basearch/ |
6箇所くらいあるので、それぞれ、上記の変更を行います。
私の環境はCentOS5.5ですので上記のディレクトリに「/5.5/」とありますが、
ここはバージョンによって適宜変更してください。
これでリポジトリが登録できたことになっているので、
yumでgitをインストールします。
|
1 |
yum install --enablerepo=epel git |
gitがインストール出来たら、やっと目的のツール「dehydrated」のインストールです。
|
1 |
git clone https://github.com/lukas2511/dehydrated.git |
インストールできたら、さっそくdehydratedを使ってSSL証明書を取得してみます。
まず、一時ディレクトリを作成します。
|
1 2 |
cd /var/www mkdir dehydrated |
次にApacheの設定ファイルを作成します。
|
1 2 |
cd /etc/httpd/conf.d vi dehydrated.conf |
dehydrated.confの内容は下記のとおりです。
|
1 2 3 |
Alias /.well-known/acme-challenge /var/www/dehydrated <Directory /var/www/dehydrated/> </Directory> |
ここまででApacheを再起動します。
次に、dehydratedの設定ファイルを作成します。
dehydratedをインストールした場所に移動し、
|
1 |
cp docs/examples/confg ./ |
同じディレクトリにdomains.txtというファイルを作成します。
|
1 |
vi domains.txt |
このファイルには、SSL証明書を発行するドメインを記述します。
このとき、行を分けて複数のドメインを記述すると
ドメインごとに証明書が発行されますが、
1行にスペース区切りで複数のドメインを記述すると
1つのマルチドメイン証明書として発行されます。
今回は目的だったマルチドメイン証明書の記述を行います。
|
1 |
www.ドメイン名 stage.ドメイン名 |
最初に記述したドメインがコモンネームとなります。
そして、証明書発行の前に、アカウントを登録する必要があります。
|
1 |
./dehydrated --config /~/dehydrated/config --register --accept-terms |
Done!と表示されたら完了です。
いよいよ証明書の発行です。
|
1 |
./dehydrated --config ./config --cron |
Done!と表示されたら証明書の発行完了です。
準備が大変でしたが、あっけなく発行できました。
あとは、ApacheのVirtualHostの設定で
複数のドメインに対して証明書ファイルを設定します。
いろんな書き方があると思いますが
私はssl.confにすべて記述しています。
ssl.conf(一部)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
NameVirtualHost *:443 <VirtualHost *:443> ServerName www.ドメイン名:443 SSLCertificateChainFile /root/dehydrated/certs/www.ドメイン名/chain.pem SSLCertificateFile /root/dehydrated/certs/www.ドメイン名/fullchain.pem SSLCertificateKeyFile /root/dehydrated/certs/www.ドメイン名/privkey.pem ~略~ </VirtualHost> <VirtualHost *:443> ServerName stage.ドメイン名:443 SSLCertificateChainFile /root/dehydrated/certs/www.ドメイン名/chain.pem SSLCertificateFile /root/dehydrated/certs/www.ドメイン名/fullchain.pem SSLCertificateKeyFile /root/dehydrated/certs/www.ドメイン名/privkey.pem ~略~ </VirtualHost> |
Apacheを再起動して完了です。
あとは、自動更新の設定ですが、cronで以下のようなコマンドを実行するだけです。
|
1 |
0 4 1 * * /インストール場所/dehydrated/dehydrated --config /インストール場所/dehydrated/config --cron >> /tmp/ログ名.log 2>&1 |
これで証明書の更新も勝手にやってくれます。たまにログは確認しましょう。
これでCentOS5でもLet’s Encryptでマルチドメイン証明書が利用できました。
無料ってのがすごいですね。
昔はSSL証明書は個人が気軽に導入できるような安いものはありませんでした。
今は千円くらいで取得できるものがあるので個人でも気軽に取得できますよね。
そしてとうとう、SSL証明書は無料で取得できる時代になったようです。
開発サーバー(CentOS6.5)で取得してみました。
(上記の公式サイトで環境ごとに導入方法の説明があります)
まず、EPELリポジトリの追加が必要だそうです。
|
1 |
yum install epel-release |
これはすでに追加済みでした。
次に、公式サイトからクライアントソフトを直接ダウンロードします。
|
1 |
wget https://dl.eff.org/certbot-auto |
ダウンロードしたファイルに実行権限をつけて実行します。
|
1 2 |
chmod +x certbot-auto ./certbot-auto |
ドメイン名とメールアドレスを聞かれるので答えます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
No names were found in your configuration files. Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel): clouds.tokyo Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): *****@clouds.tokyo (規約に同意するか) (A)gree/(C)ancel A (メールを送ってよいか) (Y)es/(N)o Y IMPORTANT NOTES: - Unable to install the certificate - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/clouds.tokyo/fullchain.pem. Your cert will expire on ****-**-**. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you lose your account credentials, you can recover through e-mails sent to *****@clouds.tokyo. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. |
もうこれで証明書が取得できたようです。
認証メールが来ていたのでメール内のURLをクリックしておきます。
|
1 |
/etc/letsencrypt/live/clouds.tokyo |
を見ると、たしかに証明書ファイル等があります。
ではApacheの設定を編集して、取得した証明書に切り替えてみます。
|
1 2 3 |
SSLCertificateFile /etc/letsencrypt/live/clouds.tokyo/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/clouds.tokyo/privkey.pem SSLCACertificateFile /etc/letsencrypt/live/clouds.tokyo/fullchain.pem |
Apacheを再起動して、ブラウザでアクセスして証明書を確認すると、
|
1 |
認証局: Let's Encrypt |
おお、できてる!
こんなに簡単だとは思いませんでした。
有効期限が90日と短いようですが、定期的に
|
1 2 |
./certbot-auto renew service httpd restart |
をすればいいみたいですね。
cronに設定しておけば、もうSSL証明書更新作業に煩わされることはありません。たぶん。