Let's Encryptの更新（2021/09/06）

Let's Encryptの証明書の更新タイミングがやってまいりました。

前回、standalone方式からwebroot方式に切り替えているので、Webサーバには手を入れずに更新ができずはずです。失敗があってはいけませんから、一度「certbot --dry-run renew」で試してから問題ないことを確認した上で実施します。
それで成功すれば、本番コマンドを投入します。

root@openbsd:~ # certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/www.eimelle.net.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert is due for renewal, auto-renewing...
Plugins selected: Authenticator webroot, Installer None
Renewing an existing certificate for www.eimelle.net
Performing the following challenges:
http-01 challenge for www.eimelle.net
Using the webroot path /var/www/htdocs for all unmatched domains.
Waiting for verification...
Cleaning up challenges

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/www.eimelle.net/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all renewals succeeded: 
  /etc/letsencrypt/live/www.eimelle.net/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

こんな感じでうまくいきました。
更新とプロセスの再起動を定期的にcronに行わせたいのですが、どうすればいいのでしょうね。証明書の有効期間は90daysですが、更新をしたタイミングでさらに90daysが延長されるので、80日目ぐらいで延長を続けるとどんどんずれていく感覚です。

つまり、80days → 160days → 240days → 320days → 1year + 35days
といった感じなり、cronの毎月xx日といった形式では指定できない訳です。このあたりは、おいおい考えることにしましょう。

タグ：Let's Encrypt