「Let’s Encrypt」のインストールはこちらを参照して下さい。

90日で証明書が切れるので、自動更新をするようにします。

設定手順

SSL証明書の更新を確認します

$ sudo /〜/certbot-auto renew –post-hook “/etc/rc.d/init.d/nginx restart”

renew:すべての証明書を更新します。

–post-hook:renew後に起動するオプション(ここではnginxを再起動しています)

更新が切れた状態で実行すると下記のようなメッセージが表示されます。

$ sudo /opt/www/hoge.com/ssl/letsencrypt:q/certbot-auto renew –post-hook “/etc/rc.d/init.d/nginx restart”
/opt/eff.org/certbot/venv/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

——————————————————————————-
Processing /etc/letsencrypt/renewal/ngxtst.kumakake.com.conf
——————————————————————————-
Cert is due for renewal, auto-renewing…
Plugins selected: Authenticator standalone, Installer None
Renewing an existing certificate
/opt/eff.org/certbot/venv/lib/python2.6/site-packages/acme/jose/jwa.py:110: DeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = key.signer(self.padding, self.hash)
Performing the following challenges:
tls-sni-01 challenge for ngxtst.kumakake.com
Waiting for verification…
Cleaning up challenges

——————————————————————————-
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/ngxtst.kumakake.com/fullchain.pem
——————————————————————————-

——————————————————————————-

Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/ngxtst.kumakake.com/fullchain.pem (success)
——————————————————————————-
Running post-hook command: /etc/rc.d/init.d/nginx restart
Output from nginx:
Stopping nginx: [FAILED]
Starting nginx: [ OK ]

自動更新をするようにします

cronに追加します。

#vi /etc/crond./letsencrypt

0 5 * * 1 root /opt/www/ngxtst.kumakake.com/ssl/letsencrypt/certbot-auto renew –post-hook “/etc/rc.d/init.d/nginx restart”

毎月曜日の5時に起動します。

renewが動かないと–post-hookも起動されないので、いたずらにnginxが再起動はされない。

終わりに。。。

あとはキチンと更新されているかを90日後に確認しましょう!