概要
前回、さくらVPCで数年間稼働していたサーバのOSバージョンが古くなり、不要なファイルも増えてきたため、CentOS7からRocky Linux9に移行しました。
そのあとにLet’s Encryptを新しく発行したのでその時の備忘録を残します。
注意事項
- 十分に検証して作業を行ってください。
- 移行したLet’s Encryptの証明書は削除しますので必要な方はどこかにバックアップしてください。
Let’s Encryptの移行ディレクトリの削除
Let’s Encryptの以下のディレクトリを削除する。
- /etc/letsencrypt/live/[ドメイン名]
- /etc/letsencrypt/archive/[ドメイン名]
Let’s Encryptで証明書の再発行
# certbot certonly --webroot -w [ドキュメントルート ディレクトリ] -m xxxxx@xxxxxx.xxx -d [ドメイン名] -n --agree-tos
すでに移行した時の実施していた場合に以下のようなディレクトリでpemファイルが作成されます。
- /etc/letsencrypt/live/[ドメイン名]-0001/*.pem ※数字は連番
もし、`/etc/letsencrypt/live/[ドメイン名]/*.pem` にしたい場合は、
/etc/letsencrypt/renewal/conf/[ドメイン名].conf を消して実施してください。
※注意事項
5回以上同じドメインで作成すると以下のようなエラーメッセージが出力され、1週間以上発行されなくなります。
私は検証でrmして作り直しを何回もしてたらでました。お気を付けください。
# certbot certonly --webroot -w [ドキュメントルート ディレクトリ] -m xxxxx@xxxxxx.xxx -d [ドメイン名] -n --agree-tos
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for [ドメイン名]
An unexpected error occurred:
too many certificates (5) already issued for this exact set of domains in the last 168h0m0s, retry after 2025-01-20 15:45:39 UTC: see https://letsencrypt.org/docs/rate-limits/#new-certificates-per-exact-set-of-hostnames
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
(必要な場合)Apacheの設定変更
証明書のディレクトリが変更した場合は、適宜修正お願いします。
その後、httpdサービスの再起動をしてください。
cron設定
今まではLet’s Encryptの証明書の有効期限は90日でしたが、2024/12/11に6日間の証明書を提供すると発表していました。
そのため、自動更新の間隔は6日以内にした方がよいかもしれません。
(参考)Let’s Encrypt Blogを参照ください。
以下、6日ごとに実行するようなcronの設定となります。お好みでカスタマイズお願いします。
0 4 */6 * * /usr/bin/certbot renew --post-hook "systemctl restart httpd.service"参考リンク
Let’s Encryptの設定について詳しくは、Let’s Encrypt(個別編)の記事を参照ください。
ありがとうございます
コメント