letsencrypt - ゆるふわキャンパー

ゆるふわキャンパー

Sign in

letsencrypt

A collection of 4 posts

Run Let's Encrypt client with Nomad job

Run Let's Encrypt client with Nomad job

SSL 証明書の取得の自動化を可能とするプロトコルとして ACME (Automated Certificate Management Environment) がありこれの実装として Let’s Encrypt というサービスがあります。 Let’s Encrypt のクライアントとしては certbot や lego があります。どちらも以下のように Docker イメージが公開されており、つまり Nomad のジョブとして簡単に動かすことが可能です。 * Docker Hub - certbot * Docker Hub - lego certbot と lego の大きな違いは lego は Go で書かれておりバイナリ一つという手軽さがあるという点です。Docker を使うなら関係ないですが…。今回 Nomad のバッチジョブとして lego を動かしてみたのでメモします。モチベーション

Auto renew SSL Certificate with Certbot(Let’s Encrypt)

Auto renew SSL Certificate with Certbot(Let’s Encrypt)

このブログのSSL証明書はLet’s Encryptという認証局のものを使っています。Let’s Encryptの証明書を使い始めてしばらく経ちましたがいいかんじです。 * letsencrypt - ゆるふわキャンパー Let’s Encryptについて Let’s Encryptの証明書は無料で提供されており、certbotという証明書の取得や更新をコマンドで行うことの出来るツールが提供されているのが特徴です。神ってことです。証明書の有効期限は90日(3ヶ月)と短いですが、コマンド一発で証明書を更新できるのでデメリットではありません。また、証明書を細かくアップデートしていけるということは常に最新の暗号技術を取り入れた証明書を(Let’s Encryptが追随してくれているので)使えるということであり、度々世間を騒がせている弱い暗号方式を使った証明書によって起きる脆弱性に対しても運用上強いはずです。 certbotをインストールする Let’s Encryptの証明書はcertbotを通じて取得、更新を行うので、まずはcertbotを導入します。

Let's Encrypt automatic update failure

Let's Encrypt automatic update failure

Let's Encryptからこんなメールが来ていました。 Your certificate (or certificates) for the names listed below will expire in 19 days (on 21 Mar 17 04:30 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors. lorentzca.me ... 個人サーバで持ってるドメインのSSL証明書はLet's Encryptのものを使っており、certbotで自動更新しています。certbotは証明書の期限が1ヶ月を切ると証明書をアップデートしてくれます。なので上のメールのように証明書の期限が残り19日と言うのは異常事態なのです。 Let's Encryptで管理している証明書は4つあり、そのうちの1つで更新がうまく行っていないようです。

You are running with an old copy of certbot that does not receive updates

You are running with an old copy of certbot that does not receive updates

letsencrypt使ってみようと思ってcertbotコマンドをインストールしていざ実行したら下記のようなエラー You are running with an old copy of certbot that does not receive updates, and is less reliable than more recent versions. We recommend upgrading to the latest certbot-auto script, or using native OS packages. 最新版なのになあとおもったらepelパッケージのバグっぽかった解決方法 2016/07/13現在の方法。そのうちepelのメインストリームに取り込まれてメインストリームの最新版使えばよくなるはず certbot-0.8.1-1.el7をcertbot-0.8.1-2.el7にアップデートする(epel-testingリポジトリにリリースされているので注意)