🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Express

ExpressはNode.jsのWebアプリケーションフレームワークです。 マルチページを構築するための機能セットおよびハイブリッドのWebアプリケーションを提供します。

Q&A

解決済

1回答

3722閲覧

自動更新しているはずのSSL証明書が有効期限切れと表示されるようになった原因

miyaken912

総合スコア15

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Express

ExpressはNode.jsのWebアプリケーションフレームワークです。 マルチページを構築するための機能セットおよびハイブリッドのWebアプリケーションを提供します。

0グッド

1クリップ

投稿2021/03/24 20:45

編集2021/06/24 17:51

質問の概要

3日前の3/22に、EC2上にNode.jsのExpressで作ったサーバが、突然SSL証明書の有効期限切れ(ERR_CERT_DATE_INVALID)で表示出来なくなりました。

SSL証明書自体は更新を自動化していたので、正しく更新されているようでした。

そこでforever stopでサーバを一度停止し、forever startで再度起動したところ、正常に動きました。

そのため、server.jsのスクリプトの中で読み込んでいるpemファイルが、更新された後も反映されずに、古いもののままサーバが動き続けていたのが原因ではないかと思っているのですが、これは正しいでしょうか?

またその場合、30日毎にSSL証明書が更新されるたびサーバをforeverコマンドで再起動しなければいけない気がするのですが、その手間を省略する方法はあるのでしょうか?

(補足)詳細な状況

SSL証明書は、Cerbotを用いたLet's Encryptを使っており、AWSの公式ドキュメントにある方法で更新を自動化していました。
Certificate Automation: Amazon Linux 2 での Let's Encrypt と Certbot の使用

そのため、opensslのコマンドでSSL証明書の有効期限を確認すると、有効期限は2021年の6/19になっており、たしかに更新されているようでした。

sudo openssl x509 -in /(パス省略)/fullchain.pem -noout -dates notBefore=Mar 21 20:53:47 2021 GMT notAfter=Jun 19 20:53:47 2021 GMT

しかし、ブラウザでサーバにアクセスしても上述のエラーで表示出来ず、Chrome dev toolのSecurityタブなどからSSL証明書の有効期限を見ると、3/22が期限のままになっていました。

以下のforeverコマンドでサーバを再起動したところ、最新のSSL証明書が使用されるようになり、表示出来るようになりました。

forever stop 0 forever start server.js

server.jsのファイルの中では、Let's Encryptのpemファイルを読み込んでおり、foreverコマンドでデーモン化し永続実行していたため、pemファイルが更新されても反映されなかったのではないかと思っています。

Node

1var options = { 2 key: fs.readFileSync("/etc/letsencrypt/live/xxxx.net/privkey.pem"), 3 cert: fs.readFileSync("/etc/letsencrypt/live/xxxx.net/fullchain.pem"), 4}; 5var server = https.createServer(options, app); 6 7app.use(timeout(120000)); 8server.listen(process.env.PORT || 3000, function () { 9 console.log("Listening on port 3000"); 10});

この現象の原因は上述の推測で正しそうか、またその場合、毎回pemファイルが更新されるたびにサーバを再起動する手間を省く方法があるのか、教えて頂ければ幸いです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

miyaken912

2021/03/25 21:54

ありがとうございます。SNICallbackを使ってみることにしました。 ただいまセットしているpemファイルの有効期限が切れないとちゃんと動いてるか確認できないので、どうテストしたらよいかも分からず、本当にこれでよいのかはもう少し先にならないと確定は出来なそうですが・・
guest

回答1

0

自己解決

質問への追記・修正の依頼で教えて頂いたSNICallbackを使って以下のように直しました。
テスト方法が分からず確認出来ていないのですが、一旦これで様子を見てみようと思います。

Node

1var ctx = tls.createSecureContext({ 2 key: fs.readFileSync("/etc/letsencrypt/live/xxxx.net/privkey.pem"), 3 cert: fs.readFileSync("/etc/letsencrypt/live/xxxx.net/fullchain.pem"), 4}); 5var server = https.createServer( 6 { 7 SNICallback: (servername, cb) => { 8 cb(null, ctx); 9 }, 10 }, 11 app 12); 13 14app.use(timeout(120000)); 15server.listen(process.env.PORT || 3000, function () { 16 console.log("Listening on port 3000"); 17}); 18 19module.exports = app;

投稿2021/03/25 21:57

miyaken912

総合スコア15

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

miyaken912

2021/06/24 18:43

SNICallbackが上手く動かず再度ERR_CERT_DATE_INVALIDエラーになってしまったため、以下の記事を参考にcronでSSLサーバー証明書更新時に、--deploy-hookでサーバーを再起動するように設定しました https://qiita.com/kazuhidet/items/9d58a104f93d9ff7302d 39 1,13 * * * root certbot renew --no-self-upgrade --deploy-hook "forever restart server.js"
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問