Cuaderno de un Entusiasta de la Simulación de Vuelo

中文 English 日本語 Français Deutsch Español 한국어 Русский 繁體中文

Renovar certificados electrónicos de Let's Encrypt

| Aviación a nuestro alrededor

El certificado electrónico está a punto de caducar, así que volví a jugar con Let’s Encrypt.

Primero ejecuto el comando, $ certbot –config-dir ~/letsencrypt/etc –work-dir ~/letsencrypt/lib –logs-dir ~/letsencrypt/log certonly –manual -d yinlei.org -d www.yinlei.org -d yinlei.net -d www.yinlei.net Luego, como la última vez, aparece un mensaje que solicita crear el archivo de autenticación en .well-known/acme-challenge/ en el servidor, Después de hacerlo, se obtiene la siguiente información. IMPORTANT NOTES:

  • Congratulations! Your certificate and chain have been saved at ~/letsencrypt/etc/live//fullchain.pem. Your cert will expire on 2017-06-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew all of your certificates, run “certbot renew”

Mire bajo etc/live/yinlei.org/ $ ls -l total 32 lrwxr-xr-x 1 laoyanhunhua staff 34 3 30 19:07 cert.pem -> ../../archive//cert2.pem lrwxr-xr-x 1 laoyanhunhua staff 35 3 30 19:07 chain.pem -> ../../archive//chain2.pem lrwxr-xr-x 1 laoyanhunhua staff 39 3 30 19:07 fullchain.pem -> ../../archive//fullchain2.pem lrwxr-xr-x 1 laoyanhunhua staff 37 3 30 19:07 privkey.pem -> ../../archive//privkey2.pem

Resulta que se generaron nuevos archivos como cert2.pem.

A continuación, subí el nuevo certificado al servidor. Primero subí el nuevo archivo de clave privada private2.pem, luego copié el nuevo certificado cert2.pem, y por último, también subí el nuevo certificado intermedio chain2.pem. (SSLサーバcertificado→ドメイン設定→SSL certificado actualización→ 秘密鍵を含む新しい設定の作成→ 秘密鍵をアップロードする→certificadoのインストール→中間certificadoのインストール )

Lo miré en el navegador y, efectivamente, la fecha de validez del certificado ya ha cambiado a dentro de 3 meses.

Nota: El certificado electrónico Let’s Encrypt no admite comodines wildcats para varios dominios, pero sí admite SAN (Subject Alternative Name), por lo que un certificado puede incluir varios dominios. En el comando se usa la opción -d para especificar yinlei.org y www.yinlei.org. Por supuesto, wildcats sería lo mejor, para no tener que escribir los subdominios uno por uno, pero afortunadamente este sitio solo tiene 2, así que no es tan molesto.