SSL証明書Let’s Encryptの有効期限確認方法と自動更新のコマンド覚書

証明書の有効期限を確認するコマンド

#certbot certificates

証明書の有効期限を更新するコマンド

#certbot renew

※有効期限が30日未満のときのみ更新される

ドライラン(テスト)するコマンド

#certbot renew --dry-run

証明書を強制更新するコマンド

#certbot renew --force-renew

自動更新設定

#vi /etc/crontab

00 5 1 * * certbto renew -q --deploy-hook "systemctl restart httpd"

毎月1日の5時00分に更新し、成功したらhttpdをリスタートさせる

自宅サーバーのSSL化(自己署名証明書)

自己著名証明書は実際の運営に使うのは現実的ではないですが、ちょっとしたサーバーの挙動テスト等をするのにいちいち証明書を取るわけにもいかないので、そういうとき用の自己著名証明書を利用したサーバーのSSL化の覚書。

# cd /etc/pki/tls/certs/
# sed -i 's/365/3650/g' Makefile ← サーバー用証明書有効期限を1年から10年に変更
# make server.key ← サーバー用秘密鍵の作成

Enter pass phrase: ← パスワード入力
Verifying - Enter pass phrase: ← パスワードの再入力

# openssl rsa -in server.key -out server.key ← サーバー用秘密鍵からパスワード削除

Enter pass phrase for server.key: ← 先程のパスワードを入力
writing RSA key

# make server.crt ← サーバー用秘密鍵の作成

Country Name (2 letter code) [XX]:JP ← 国
State or Province Name (full name) []:Tokyo ← 都道府県名
Locality Name (eg, city) [Default City]:Ginza ← 市区町村名
Organization Name (eg, company) [Default Company Ltd]:Soshiki ← 組織名
Organizational Unit Name (eg, section) []: ← そのままエンター・キー
Common Name (eg, your name or your server's hostname) []:hogehoge.jp ← ドメイン名
Email Address []:webmaster@hogehoge.jp ← 管理者のメルアド

# chmod 400 server.* ← アクセス不可設定

参考サイト:「CentOS 7.0 で自宅サーバーのSSL(自己署名証明書)作成とWeb&Mailサーバーへの設定