Let’s Encryptの本格運用

Let’s Encryptのベータが始まった時にも投稿したのだけれど、証明書の有効期限が迫ってきたので、本格運用に移らないといけない。
ベータの時から情報も増えて手探り感はなくなりました。新規に始める人は公式サイトを見るのが良いかと思います。
今回はベータからの上書きになるので心配でしたがそこら辺もサポートされているようです。

クライアントのインストール

公式通り

$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt
$ ./letsencrypt-auto --help

ただし、今回からcronで自動更新させるつもりなので、rootで行うようにしました。また、letsencrypのディレクトリもユーザホームではなく、/usr/localでやり直しました。

手動での証明書インストール

案の定というか、DebianでApacheを使っている時の動作がおかしかったようで、公式でもDebianだけやり方が違う旨の記述がありました。

./letsencrypt-auto --apache

これでインタラクティブに質問に答えていくと、証明書の発行からインストール、apacheのreloadまでやってくれました。
ベータの証明書が入っていたけど、そのへんもうまい具合に解決してくれました。

証明書の自動更新

証明書の有効期限は90日なので、毎回上のコマンドを叩いてもいいのですが、crontabに対話式でないコマンドを書いておくと自動更新してくれます。

40 23 02 * * /usr/local/letsencrypt/letsencrypt-auto certonly --webroot -w /var/www -d beth.mirahouse.jp --renew-by-default && /usr/sbin/service apache2 reload

ここでハマったんですが、http(80)のDocumentRootとhttps(443)のDocumentRootが違うと、認証に失敗します。DocumentRootに.well-knownというディレクトリを作って、認証の鍵を置くんですが、これの確認にhttpを使うみたいで、httpsのDocumentRootを指定しておくと見に行ってくれないようです。逆にhttpのDocumentRootを書いてもダメでした。
いまいち納得いきませんが、httpとhttpsのDocumentRootを一致させることで解決しましたが、なんとかならないものでしょうか。

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください