下記記事で紹介した無料のSSL/TLS 証明書の更新作業についてです。
以前、2017年の記事で更新手順を紹介しましたが、若干異なる点が出てきたので、修正した手順を説明します。
Let’s Encryptの利用で無料でSSL対応! パソコン鳥のブログ
ここでは、CentOS で apache を SSL対応する場合について説明します。
SSL証明書の有効期限が近付くと、Let’s Encrypt の証明書取得時に入力したメールアドレスに Subject「Let’s Encrypt certificate expiration notice for domain “XXXXX”」でメールが届きます。
そのメールが届いたら、以降の作業を行います。
まず、ファイアウォールで海外からの http,https接続をブロックしている場合は解除してください。
証明書更新作業で Let’s Encrypt から http/https接続が海外からきます。
iptables を利用している場合は、下記のようにして、一時的に http,httpsを許可します。
(この設定は、後で削除します)
/sbin/iptables -I INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
http/httpsサーバーが立ちあがっている場合は、停止させておきます。
例えば CentOS6 の apache では次のようにします。
/etc/init.d/httpd stop
Certbot クライアントをダウンロードし、renew オプションを付けて実行します。
次を root で実行して下さい。
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto renew
これで SSL/TLS 証明書を更新できました。
一時的に http,httpsを許可した設定を削除します。
/sbin/iptables -D INPUT 1 を2回実行します。
/sbin/iptables -D INPUT 1 /sbin/iptables -D INPUT 1
最後に、先の手順で停止させた http/httpsサーバーがある場合は、起動します。
以上で完了です。
コメント