teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップLet's Encryptに関する質問
Let's Encrypt

Q&A

解決済

2回答

3188閲覧

Let's Encryptのcertbot-autoによる自動更新ができない

minoru23
minoru23

総合スコア23

Let's Encrypt

0グッド

0クリップ

投稿2017/10/12 16:35

編集2017/10/13 05:37

0

0

centos6.4、apach2.2.15にLet's Encryptを導入しました。

なんとかSSL化はできたのですが、cronによる自動更新ができず困っています。
standalonモードで更新したいので、cronは下記のようにしました。

25 2 * * * /usr/bin/certbot-auto renew --pre-hook "service httpd stop" --post-hook "service httpd start"

cronのlogをみましたが実行されていました。
しかし証明書の更新できなかったため、試しに下記のように--force-renewをつけて、コマンドで試したところ更新することができました。

/usr/bin/certbot-auto renew --force-renew --pre-hook "service httpd stop" --post-hook "service httpd start"

cronで自動更新するにはどのようにしたらよいのでしょうか?

【追記】

すいません。質問が一部間違っていました。説明が下手で申しわけないです。

cronに登録したのは

25 2 * * * /usr/bin/certbot-auto renew --force-renew --pre-hook "service httpd stop" --post-hook "service httpd start"

でした。これは強制的に1回だけcronで自動更新ができるかどうか試したかったからです。

しかし更新されませんでした。

そこでコマンドで

/usr/bin/certbot-auto renew --force-renew --pre-hook "service httpd stop" --post-hook "service httpd start"

を試したら、更新された次第です。

なので、cronの書き方が間違っていたのかなと思ったのです。

アドバイスでご指摘いただいたように、cronの設定は毎日じゃなくて月に数回にするつもりです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

おそらく手順としては問題ないと思います。
Let's Encrypt で発行される SSL証明書の有効期限は3ヶ月あるので、お使いの SSL証明書が、更新できる期間になっていないので、更新されないだけだと思います。
現状のままでも70日後ぐらいに更新されるのではないかと思います。

以下、推測も含んでいますが、うちでの状況です。

Let's Encrypt からの有効期限終了間近のお知らせメール( Let's Encrypt Expiration Emails 参照)が最初に届くのタイミングは、証明書有効期限の約3週間前です。
おそらく、certbot renew コマンドで、SSL証明書が更新できるタイミングは、それ以降になるのではないかと思っています。

うちの場合、複数ドメインを1台のサーバで運用している関係で、取得時期が異なる複数の証明書を使っていますので、毎月2回 cron で自動実行させていますが、有効期限が残り少ない(更新期限がきている)証明書だけが更新されて、有効期限まで3週間以上ある証明書(過去の実行結果を確認みたところ有効期限25日前では更新されていませんでした)は、更新処理が、skip されているので、期間前に実行していても問題ないと思います。

投稿2017/10/13 01:42

編集2017/10/13 01:56
CHERRY
CHERRY

総合スコア25171

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

minoru23
minoru23

2017/10/13 05:38

アドバイスありがとうございます。質問が一部間違っておりまして【追記】させていただきました。申し訳ありません。
CHERRY
CHERRY

2017/10/13 05:50

更新されなかったときに certbot が出力したメッセージは、残っていないでしょうか? cron で、実行したなら root 宛にメールが来ているのではないかと思います。
guest

0

ベストアンサー

cronの定義をみると毎日更新するような設定となっているようです。
Let's Encryptの証明書は90日の有効期限を持っており、あまり頻繁に更新すると制限がかかる場合もあります。

また、下記ページ等にもあるように、一定期間が経過しないうちは、更新不要と判断され証明書の再発行は行われません。

Let's Encryptを使ってSSL証明書を自動更新する(AWS/Amazon Linux/Apache) - Qiita

1ヶ月程度期間を空けて試されてはいかがでしょうか。

追記:

ちょうど手元に発行から1ヶ月程度のLet's Encrypt証明書を使用しているものがあったので更新を試してみましたが、The following certs are not due for renewal yetと表示され更新されませんでした。
残りがどれくらいになったら更新されるのかは調べていませんが、例えば今から2ヶ月後だとすると、実際の更新が行われるのは年末くらいになるのかもしれません。

また、念の為補足しておきますと、更新確認自体は現状のcron設定のまま毎日行われても問題はないかと思います。これを--force-renew付きで行い続けるようにしてしまうと発行制限がかかる可能性がある、というのが回答冒頭の内容になります。

投稿2017/10/12 19:23

編集2017/10/12 22:07
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

minoru23
minoru23

2017/10/13 05:39

アドバイスありがとうございます。質問が一部間違っておりまして【追記】させていただきました。申し訳ありません。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップLet's Encryptに関する質問

Let's Encryptのcertbot-autoによる自動更新ができない