電子証明書の有効期限が迫っていたので、以前の手順で<a href="/x-plane10/2017/01/lets-encrypt.>Let’s Encryptを再度実行することにしました。

まずコマンドを実行します。 $ certbot –config-dir ~/letsencrypt/etc –work-dir ~/letsencrypt/lib –logs-dir ~/letsencrypt/log certonly –manual -d yinlei.org -d www.yinlei.org -d yinlei.net -d www.yinlei.net 前回と同様に、.well-known/acme-challenge/ 以下に認証ファイルを作成するようプロンプトが表示されます。 設定完了後、以下の情報が表示されました。 IMPORTANT NOTES:

• Congratulations! Your certificate and chain have been saved at ～/letsencrypt/etc/live//fullchain.pem. Your cert will expire on 2017-06-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew all of your certificates, run “certbot renew”

etc/live/yinlei.org/ 以下を確認します。 $ ls -l total 32 lrwxr-xr-x 1 laoyanhunhua staff 34 3 30 19:07 cert.pem -> ../../archive//cert2.pem lrwxr-xr-x 1 laoyanhunhua staff 35 3 30 19:07 chain.pem -> ../../archive//chain2.pem lrwxr-xr-x 1 laoyanhunhua staff 39 3 30 19:07 fullchain.pem -> ../../archive//fullchain2.pem lrwxr-xr-x 1 laoyanhunhua staff 37 3 30 19:07 privkey.pem -> ../../archive//privkey2.pem

どうやら新しいcert2.pem等のファイルが生成されたようです。

次に新しい証明書をサーバーへ反映します。まず新しい秘密鍵ファイルprivkey2.pemをアップロードし、 続いて新しい証明書cert2.pemをコピーし、 最後に新しい中間証明書chain2.pemもアップロードして完了です。 (SSLサーバ証明書→ドメイン設定→SSL 証明書 更新→ 秘密鍵を含む新しい設定の作成→ 秘密鍵をアップロードする→証明書のインストール→中間証明書のインストール )

ブラウザで確認すると、証明書の有効期限が確かに3ヶ月後に更新されていました。

補足： Let’s Encryptの電子証明書はワイルドカードをサポートしていませんが、SAN (Subject Alternative Name) には対応しています。 そのため、1つの証明書に複数のドメインを含めることができ、コマンドでは-dオプションを使用してyinlei.orgとwww.yinlei.orgを指定しました。 もちろんワイルドカードがあれば便利ですが、サブドメインをいちいち書き出す必要があります。ただ、当サイトはドメインが2つだけなので、それほど手間ではありません。