Amaon linux 2023でLet's Encryptを使う
今まで運用してた環境のAmazon Linux 2がそろそろEOLなので、Amazon Linux 2023に移行した。
それに合わせて運用中のサイトで利用してるLet's EncryptによるSSL証明書の運用周りの更新したが、旧環境にLet’s Encryptを導入してから日が経ってLet's Encrypt周りも若干変わったようなので、その辺りも見ながら導入した結果を以降に記す。
certbotの導入
シェルより次のコマンドで導入出来た。epelとかリポジトリの追加は不要だった。
sudo dnf install certbot
自動更新可能なワイルドカード証明書を導入できるか
以前調べたときは難しかったが、今は簡単にできるかな?と思い調べた。
が、出来るようだが未だやり方はややこしいようだ。結局やらず:p
certbotによる証明書の作成
certbotコマンドで作成する。
ググると次のようにいくつかやり方があるようだが、実行しても上手く行かなかったりした。
sudo certbot
sudo certbot --nginx
sudo certbot --nginx -d www.hoge.com
結局、次のコマンドで作成できた。
$ sudo certbot certonly --webroot -w /data/file/static -d www.hoge.com Saving debug log to /var/log/letsencrypt/letsencrypt.log Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): address@hoge.com - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in order to register with the ACME server. Do you agree? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing, once your first certificate is successfully issued, to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: N Account registered. Requesting a certificate for www.hoge.com Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/www.hoge.com/fullchain.pem Key is saved at: /etc/letsencrypt/live/www.hoge.com/privkey.pem This certificate expires on 2025-04-16. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
「Would you be willing, once your first certificate is successfully issued, ...」と質問がある部分については、登録するかは任意で、届くメールが増えるのが嫌なので今回はNにした。
証明書の自動更新の設定
シェルからrootのcrontabを開き、
sudo crontab -u root -l
次のように設定を追加。
00 04 03 * * certbot renew && systemctl restart nginx