X
無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2017/10/18(水) 10:46:04.560
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/
0324名無しさん@お腹いっぱい。
垢版 |
2018/10/09(火) 21:21:27.560
>>246 です。

とりあえず今回は手動で更新して済ませたんですが、今後のために教えてください。

CentOS 6
Apache 2.2
Python 2.7
※すべてそろそろ入れ替えないとと思ってます。

プラグインって結局なんなんだ?と少しググりましたが、
Apache 2.4系じゃないと使えないんですかね?

今回の質問は…
コマンドで更新する際に質問が来てしまって、2とEnterを押さないといけないのを自動化できないかというものです。

certbot-auto certonly --standalone -d www.example.jp

これを実行すると下記の質問が来ます。

What would you like to do?
-------------------------------------------------------------------------------
1: Keep the existing certificate for now
2: Renew & replace the cert (limit ~5 per 7 days)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

httpdが多少止まるのは全然問題なし。
よろしくお願いします。
0327名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 00:32:46.670
>>324
すでに証明書発行済みなのに新規発行しようとしてるから、既存証明書を残すか強制更新するか聞かれてるわけ
新規発行は--standaloneじゃなく--webrootでやればApache動かしたままできるし
更新はcertbot renew --post-hook "/etc/init.d/httpd reload"でやんなさい
0328名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 06:09:31.550
>>325
少しは進みました(笑)

>>326 >>327
renewやpost-hookは真っ先にやりましたよ…
でも色々とやってみた結果なんで…(汗)

renewが何をやってもプラグインエラーから変わらず。
ログを見ても同じような事しか書いてない。

Apache 2.4のrpm版にしたら解決するのかもしれない?
プラグインの具体的な意味をまだ把握していないんですが、
ネットに書いてあるcertbot-python-apacheみたいなrpmは色んなyumリポを探したけどなかったです。
色々な名前でも検索した。
0330名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 08:18:33.640
>>248
こんな状況ですんで…
いじってる時間ないんですよ。
でもVPSじゃないと困ることが多々あるのでレンサバにしてないんです。
0332名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 08:38:53.550
次のSSL更新が来年なので、CentOS7の入れ替えを年末年始にでもやります。
ご指摘ありがとうございました!

あっ、ふとさらなる迷宮作戦を思い付きました。
どうしてもダメなら懐かしのexpectを使って2を入力するようにしてみます(苦笑)
0338名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 11:24:30.340
5000年romってろ
0339名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 12:06:12.820
うちの部署にメッセージ読まない検索しないマニュアル読まないで動かないとか文句いって質問してくるやつがいる
0340名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 12:35:37.880
>>339
作業依頼のメールに手順を書いてログインIDやパスワードを添えてあっても

やり方教えてください、ログインIDわかりません、パスワード教えてくださいと毎度問い合わせが来る
0341名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 12:43:03.000
>>332 です。
初心者の勉強用の非公開サーバーなので何を言われても良いんですが、これだけ。

・自宅固定IP以外はiptablesや他のアクセス制限を組み合わせて全サービス接続できないようにしています。
・DNS、NTP問い合わせもサーバー屋さんのだけにiptablesで制限しています。
・TCP 80, 443だけはconfのアクセス制限で自宅IPと*.letsencrypt.orgだけ許可しています。
・不要なサービスはすべて停止しています。
・bindするアドレスは極力127.0.0.1を心掛けています。

CentOS7に入れ替える時には、どこかのサイトやマニュアル通りの手順通りにやってみます。
自宅サーバーは物理面の保守が嫌なので勘弁してください。
0344名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 12:50:50.570
>>341
何言われてもいいなら言い訳長文レスしないはず
文句言われて悔しいから反射的に書き込み反論我慢できない

技術も精神も子どもなんだろう
0349名無しさん@お腹いっぱい。
垢版 |
2018/10/10(水) 23:30:52.250
素で死ね
0350名無しさん@お腹いっぱい。
垢版 |
2018/10/11(木) 08:03:26.840
つーか、このスレの最初から見てても意地悪と変な質問ぐらいしかねーよ
今後はID、ワッチョイつけれ
0351名無しさん@お腹いっぱい。
垢版 |
2018/10/11(木) 08:31:58.920
あと650レス
0360名無しさん@お腹いっぱい。
垢版 |
2018/10/19(金) 01:13:38.000
 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。
0361名無しさん@お腹いっぱい。
垢版 |
2018/10/26(金) 19:50:00.730
PLESKでLet’s Encrypt使ってます。

どこにも.well-knownディレクトリがありません。
いつの間にかなくなってました。
この状態で証明書は更新でき証明書が有効の状態です。
これって時間がたつと証明書が無効になったり、
更新できなくなったりするのでしょうか?
0363名無しさん@お腹いっぱい。
垢版 |
2018/11/01(木) 09:48:09.220
証明書が変になってしまいました。
現在ドメイン・サブドメインで4つ使ってます。
aaa.com
sub-a.aaa.com
sub-b.aaa.com

この時sub-b.aaa.comにb.aaa.com証明書を割り当てると、
aaa.comとなりブラウザでアクセスすると「なりすましの可能性がある」と、
証明書が無効のようになっています。
証明書はsub-b.aaa.comで作っていますが、
どうすればこのサブドメインで証明書を作れる/認識できるでしょうか?
0364名無しさん@お腹いっぱい。
垢版 |
2018/11/01(木) 14:41:18.130
取り敢えず openssl コマンド叩いて証明書の中身確認してみそ。
あとそのドメインは実在してるけどあなたの管理してるところ?
0374名無しさん@お腹いっぱい。
垢版 |
2018/11/16(金) 11:25:48.280
2年ぐらい複数の鯖で使ってるけど
実は自動更新に成功したことがない、俺の技術力の低さ
一応エンジニアなんだけど
0375名無しさん@お腹いっぱい。
垢版 |
2018/11/16(金) 12:19:34.130
certbot なりクライアントが作った root 直下 .well-known 以下にある認証用かなんかのファイルを
80/tcp 叩いて http で 200 が出りゃ良いだけなんだから順を追ってどこでしくってるか見なおすだけではと思ってみるよ。
0376名無しさん@お腹いっぱい。
垢版 |
2018/11/16(金) 12:40:11.050
名前解決遅いクソドメイン使って更新したらずっとタイムアウトで失敗した
少しだけ早くなったときにやっと成功した
こんな例もある
0377名無しさん@お腹いっぱい。
垢版 |
2018/11/16(金) 13:47:09.410
そもそもログが出ていなくてどこでしくじってるのか、実行されてるのかすらわからない
cronは普通に動いてるから実行されないとしても理由わからないし
0383名無しさん@お腹いっぱい。
垢版 |
2018/11/17(土) 10:47:42.380
実行はされてるぽいな、結果をメールするよう仕込んだら失敗したメールが来た
しかし一緒に出力させてるはずのログが空っぽで、原因がわからん
しつこく追っていくしかないか…ただその時間が取れなくて毎回手動更新して誤魔化してる
0385名無しさん@お腹いっぱい。
垢版 |
2018/11/19(月) 06:14:53.970
自動更新失敗の件、どうやら自動実行時だけscl enable python27がうまく行かないっぽい
ぐぐると色々対処方が出て来るがどれも微妙に違ってて、どれもうちの環境では失敗する
0389名無しさん@お腹いっぱい。
垢版 |
2018/11/26(月) 10:23:02.320
メインとサブドメインで3つのサイトを運営しているとして、
Let's Encryptの証明書を作ると、
+----+-------------------------------------+--------+------------------------+
| id | name | rep_id | name |
+----+-------------------------------------+--------+------------------------+
| 20 | Lets Encrypt EXAMPLE.COM | 4 | EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
+----+-------------------------------------+--------+------------------------+

こんな感じにすべてが重複されてしまっている状態です。
上の例で「ID 20」でhttps接続したい場合は、
BBBとCCCを含むEXAMPLE.COMですべてのサイトでexample.comの証明書を割り当てないとできません。
BBB.EXAMPLE.COMでBBB.EXAMPLE.COMの証明書を割り当てると、
EXAMPLE.COMの証明書だからとなりすまし警告が来ます。
つまりどれか一つのサイトでしかHTTPS接続ができません。
BBBでhttps接続したい場合は、BBB.EXAMPLE.COMに合わせます。

これらの設定のリセット方法ってありますか?
もしくは上記の重複分を個別に削除していく方法ってありますか?
0390名無しさん@お腹いっぱい。
垢版 |
2018/11/26(月) 11:09:33.730
想定した証明書が使われてないのは、そもサーバーの設定の問題だと思うが。
重複してる部分は個別にrevokeしていけば良い
0391名無しさん@お腹いっぱい。
垢版 |
2018/11/26(月) 12:12:43.970
certbot なら -d のオプションを4つ並べて1枚の証明書を作るって共用とするか、
ウェブサーバの VirtualHost 毎に正しい証明書とプライベート鍵の組を設定する、
がんばれ
0395名無しさん@お腹いっぱい。
垢版 |
2018/12/06(木) 07:19:09.070
先月更新して2月まで期限があるのにもうすぐ切れるよってcertificate expiration noticeメールが来た。
これって何かおかしい?気にしなくていいの?
0399名無しさん@お腹いっぱい。
垢版 |
2018/12/07(金) 02:08:58.370
ここにいる人にもわからないみたいだな
全く謎だ
0404名無しさん@お腹いっぱい。
垢版 |
2018/12/08(土) 16:42:51.370
俺らと違って頻繁に更新するものじゃないからな
0406名無しさん@お腹いっぱい。
垢版 |
2018/12/09(日) 10:41:46.970
>>324 です。

結論から言うと、CentOS6のまま自動更新できるようになりました。

環境が汚かったのが原因だったようです。
無駄なrpmは削除、
/optを一度全部削除する。
Pythonはデフォルトの2.6.6に戻す。

certbot-autoの最新を落として来て実行して、
/optにPython3.4の環境を自動で使ってもらいました。

Apacheは関係ないかもですが、
最新の2.4をソースからインストールしました。

最後に certbot-auto renew を実行したら、/etcのデータを見てくれて、
すべての証明書が行進されました。
良かったです。

ネットの情報はほとんど見ないで、ドキュメントや
自分の理解でやった方が結果的に早かったです。
0408名無しさん@お腹いっぱい。
垢版 |
2018/12/09(日) 11:33:58.380
なるほど!
でもrenewだから出ないですね…
今度はVPSが爆発したりするかもしれません。
よろしくお願いいたします。
0409名無しさん@お腹いっぱい。
垢版 |
2018/12/09(日) 11:37:06.190
>ネットの情報はほとんど見ないで、ドキュメントや
>自分の理解でやった方が結果的に早かったです。

この文章を巨大文字で印刷してモニターに貼り付けとけ
もうこのスレには来るなよ
0411名無しさん@お腹いっぱい。
垢版 |
2018/12/09(日) 11:53:10.270
本当に何なのこのスレ
0415名無しさん@お腹いっぱい。
垢版 |
2018/12/09(日) 22:06:06.240
去年の5月だかに発生したバグにぶち当たると謎挙動なるから
とりあえず聞いてみる(エラーメッセージや実行したコマンドは公開できない!)のは
公式サイトの障害情報や、アップデート時のバグを負えない人だと仕方ないとも言える

キータでみたそれっぽいコマンドをコピペしたけど失敗した
悪さしてそうなファイルを消してリトライしたらおかしくなった

とかの相手はマジで疲れるけど
0417名無しさん@お腹いっぱい。
垢版 |
2018/12/10(月) 06:33:18.730
>>406 です。
お前らのその後の態度が気に入らないのでスレを荒らしますね。
大人しくしてますけど本当は超有名企業の研究職です。
この分野には疎いだけでお前らなんかと格が違いますよ。
0421名無しさん@お腹いっぱい。
垢版 |
2018/12/10(月) 18:01:58.370
超有名企業()
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況