Q&A
ご回答ありがとうございます。
この様な状況が多いとは言いませんが、普通にあってもおかしくない事だと思いますので、新機能として実装して欲しいですね。
現状はアドバイスいただいた内容をヒントに、定期的にスクリプトで有効性確認を行って、無効なドメインをリストから除外しておく位しかなさそうですね。
「certbot renew」コマンドを実行すると、通常は証明書が更新されますが、SANsで複数のドメインを扱っている場合、無効となったドメインやwebrootで確認出来ないドメインが含まれていると、エラーとなり証明書が更新できず、該当ドメインだけでなく全てのドメインでhttps接続出来なくなってしまいます。
ドメインの入れ替えが激しい為、更新出来ないドメインは無視して正常なドメインだけで更新を行いたいのですが、その様な方法はあるのでしょうか?
現状は「certbot certonly --webroot」コマンドで該当ドメインを除外して取得しなおしていますが、更新の度にリストの整理と手動操作が必要となる為、難儀しています。
良い方法を御存知の方がおられましたら、ご教示いただけましたら幸いです。
回答2件
0
ベストアンサー
--allow-subset-of-names を付けるとエラーとなったドメインを除外して証明書を更新するようになります。
もしくは /etc/letsencrypt/renewal/ドメイン.conf で[renewalparams]の所にallow_subset_of_names = Trueと書いてもいいです。
投稿2023/09/04 09:04
編集2023/09/04 09:07
総合スコア9
0
回答がつかないようなので...
certbot のドキュメントを流し読みした感じではホスト認証のエラーを無視して強制実行するオプションはなさそうです。
多少面倒ですが、-d オプションで、ドメイン名を指定して、ドメイン毎にドメインの数だけ実行するしか方法がないかもしれません。
/etc/letsencrypt/live にある証明書のディレクトリ名を利用して、ドメイン部分を与えるようなシェルスクリプトを一度作れば、2回目からはあまり手間はかからないと思いますが...
投稿2021/01/13 03:57
編集2021/01/13 03:58
総合スコア25218
DNS認証とワイルドカード証明書が使えるので、HTTP認証を使って一つのサーバー内で多数の証明書を管理する事例が減っているのかもしれませんね。
うちでは、ワイルドカード証明書以外も全て DNS 認証で処理させているので、もしかすると同じようなところが多いのかもしれません。
そうなんですね。
route53等の様にスクリプトでDNSを書き換えられたら良いのですが、ムームードメインやそこらのDNSの場合はDNS認証を自動化させる事は無理ですよね?
出来れば私もDNS認証でワイルドカード使いたいです。。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2023/09/04 10:20