「Let’s Encrypt」のインストールから発行・運用までの手順が終わりましたが、「Let’s Encrypt」は有効期限が90日間となっているために90日以内に証明書を更新しなければいけません
手動でやったら1年以内に忘れる自信あります
ということで、CentOSだしcronを使って自動更新させちゃおうって話です
SSL証明書の更新について
取得したドメインを1つ1つ更新してもいいですが、バーチャルホストを利用していると複数のドメインの設定をしなければならず、増えるたびに追記して・・・、何かが変われば全て変更して・・・と面倒が増えてしまいます
そんな環境のために、発行するときとは違って登録した証明書全てを一気に更新することが可能です
発行した証明書を一気に更新するコマンドはこちら
※もちろんHTTPサーバは一旦停止させてください
1 2 3 4 5 6 |
/opt/letsencrypt/letsencrypt-auto renew --force-renew Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/example01.com/fullchain.pem (success) /etc/letsencrypt/live/example02.com/fullchain.pem (success) /etc/letsencrypt/live/example03.com/fullchain.pem (success) |
発行した全てのドメインで更新がうまくいけばCronに登録して自動更新に移ります
Cronへ登録して自動更新させる
証明書の更新にはHTTPサーバを停止させる必要があります
証明書の数にもよりますが、停止時間は2分程度をみているほうがいいかと思いますそこで、更新実施時間はAM05:00とする設定をしています
下記は毎月1日のAM5時に稼動させる記述です
Cronへの記述は1行のみ
1 |
00 05 01 * * systemctl stop httpd.service && /opt/letsencrypt/letsencrypt-auto renew --force-renew && systemctl start httpd.service |
Cronで更新が掛かっているかどうかは翌月になって有効期限が変更されているかどうかの確認が必要です
変更されていたから全て安心かというと違います。仕様が変わって記述の変更が必要になていると更新できずに有効期限が切れてしまう可能性もあります
それくらいの心の余裕は持って「Let’s Encrypt」を利用しましょう
だって無料だからね
以上でCentOS7を使ったWEBサーバ構築&その他設定特集の終わりです