無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ >>361
更新時しか必要ないので、更新完了したら自動的に削除されるようにしてるんじゃないですか 証明書が変になってしまいました。
現在ドメイン・サブドメインで4つ使ってます。
aaa.com
sub-a.aaa.com
sub-b.aaa.com
この時sub-b.aaa.comにb.aaa.com証明書を割り当てると、
aaa.comとなりブラウザでアクセスすると「なりすましの可能性がある」と、
証明書が無効のようになっています。
証明書はsub-b.aaa.comで作っていますが、
どうすればこのサブドメインで証明書を作れる/認識できるでしょうか? 取り敢えず openssl コマンド叩いて証明書の中身確認してみそ。
あとそのドメインは実在してるけどあなたの管理してるところ? 問題になりたくなきゃ適当なドメインじゃなくてexample.comとか使えと。 web鯖再起動されてないんじゃ?
ワイルドカードは使わないの? httpdならgraceful
nginxならreload 2年ぐらい複数の鯖で使ってるけど
実は自動更新に成功したことがない、俺の技術力の低さ
一応エンジニアなんだけど certbot なりクライアントが作った root 直下 .well-known 以下にある認証用かなんかのファイルを
80/tcp 叩いて http で 200 が出りゃ良いだけなんだから順を追ってどこでしくってるか見なおすだけではと思ってみるよ。 名前解決遅いクソドメイン使って更新したらずっとタイムアウトで失敗した
少しだけ早くなったときにやっと成功した
こんな例もある そもそもログが出ていなくてどこでしくじってるのか、実行されてるのかすらわからない
cronは普通に動いてるから実行されないとしても理由わからないし >>376
TLDの話?DNS変えれば良いだけの話? >>374
自分でcertbot renew実行したら更新されるの? 更新するのにcertonlyする奴>>324もいるし、世の中いろんな人がいるもんですな >>379
される
実行されてないのかなやっぱり、でも原因がわからない 実行はされてるぽいな、結果をメールするよう仕込んだら失敗したメールが来た
しかし一緒に出力させてるはずのログが空っぽで、原因がわからん
しつこく追っていくしかないか…ただその時間が取れなくて毎回手動更新して誤魔化してる 自動更新されるんだけど、IISに自動的にバインドされない…設定間違えてるのかなぁ 自動更新失敗の件、どうやら自動実行時だけscl enable python27がうまく行かないっぽい
ぐぐると色々対処方が出て来るがどれも微妙に違ってて、どれもうちの環境では失敗する メインとサブドメインで3つのサイトを運営しているとして、
Let's Encryptの証明書を作ると、
+----+-------------------------------------+--------+------------------------+
| id | name | rep_id | name |
+----+-------------------------------------+--------+------------------------+
| 20 | Lets Encrypt EXAMPLE.COM | 4 | EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
+----+-------------------------------------+--------+------------------------+
こんな感じにすべてが重複されてしまっている状態です。
上の例で「ID 20」でhttps接続したい場合は、
BBBとCCCを含むEXAMPLE.COMですべてのサイトでexample.comの証明書を割り当てないとできません。
BBB.EXAMPLE.COMでBBB.EXAMPLE.COMの証明書を割り当てると、
EXAMPLE.COMの証明書だからとなりすまし警告が来ます。
つまりどれか一つのサイトでしかHTTPS接続ができません。
BBBでhttps接続したい場合は、BBB.EXAMPLE.COMに合わせます。
これらの設定のリセット方法ってありますか?
もしくは上記の重複分を個別に削除していく方法ってありますか? 想定した証明書が使われてないのは、そもサーバーの設定の問題だと思うが。
重複してる部分は個別にrevokeしていけば良い certbot なら -d のオプションを4つ並べて1枚の証明書を作るって共用とするか、
ウェブサーバの VirtualHost 毎に正しい証明書とプライベート鍵の組を設定する、
がんばれ Sex Sitai Lady つまり淫乱女って意味 先月更新して2月まで期限があるのにもうすぐ切れるよってcertificate expiration noticeメールが来た。
これって何かおかしい?気にしなくていいの? この説明でなにか伝わると思ってるんだろうか
思ってるんだろうな… 更新時にSAN追加したとかで新規証明書になったって落ちじゃね エリクソンもLet's Encrypt使ってれば自動更新だったろうに エリクソンは実際は違うだろうけど最初に思い浮かんだのは
Let’s Encryptの更新だったな >>324 です。
結論から言うと、CentOS6のまま自動更新できるようになりました。
環境が汚かったのが原因だったようです。
無駄なrpmは削除、
/optを一度全部削除する。
Pythonはデフォルトの2.6.6に戻す。
certbot-autoの最新を落として来て実行して、
/optにPython3.4の環境を自動で使ってもらいました。
Apacheは関係ないかもですが、
最新の2.4をソースからインストールしました。
最後に certbot-auto renew を実行したら、/etcのデータを見てくれて、
すべての証明書が行進されました。
良かったです。
ネットの情報はほとんど見ないで、ドキュメントや
自分の理解でやった方が結果的に早かったです。 そして次の更新時に >324 と同じ症状が出たので教えてください と繰り返すのを幻視 なるほど!
でもrenewだから出ないですね…
今度はVPSが爆発したりするかもしれません。
よろしくお願いいたします。 >ネットの情報はほとんど見ないで、ドキュメントや
>自分の理解でやった方が結果的に早かったです。
この文章を巨大文字で印刷してモニターに貼り付けとけ
もうこのスレには来るなよ はい。卒業できそうです。
ありがとつございました。 ドキュメントを見てやることと自分の勘でやることはとんでもない違いがあるけど 去年の5月だかに発生したバグにぶち当たると謎挙動なるから
とりあえず聞いてみる(エラーメッセージや実行したコマンドは公開できない!)のは
公式サイトの障害情報や、アップデート時のバグを負えない人だと仕方ないとも言える
キータでみたそれっぽいコマンドをコピペしたけど失敗した
悪さしてそうなファイルを消してリトライしたらおかしくなった
とかの相手はマジで疲れるけど >>406 です。
お前らのその後の態度が気に入らないのでスレを荒らしますね。
大人しくしてますけど本当は超有名企業の研究職です。
この分野には疎いだけでお前らなんかと格が違いますよ。 >>417
ドキュメントも読まずに質問する研究職w ドキュメントも読まずに更新をcertonlyでやる研究職なんて
ちゃんと他の論文読めてるとは思えないね 嵐くんはなりすなされてるだけだろw
マジだったらキチガイすぎる >>417 です。
本気ですからね。
こんなサイト潰すのはスクリプトで瞬殺ですよ。 超有名企業だろ。
大企業とは言ってないから超絶ブラックとかだろw
何の研究かなあ?合法な詐欺的手法とか? >>431
スクリプトの読み書きができるなら、なぜPythonスクリプトであるcertbotを読まなかったのだろうか? くだしつにあげてバカにされてそっちでも荒れるだけだろ。 前から予告してずっと探してんだろw
荒らしたいのにスクリプトが見つからないんだよwww
とネタにマジレス >>431 です。
サーバーのIPは抜きました。
もう逃げられませんよ。 栄光の443番のレスをそんなことに使うとは何事じゃ! >>395だけど、前回はあと19日で切れるよってメールだったのが10日経ってあと9日で切れるよってメールがまた来た
何度確認しても期限は2月なんだけど、このまま放っておくとどうなるのか様子見ることにするわ
本当に切れたら笑う…いや笑えない…いややっぱり笑うかも 一度certonlyしたのを無効化せずに削除して、改めて同じホスト名で別のcertonlyした証明書を取り直したと推測 このスレで伝説になった>324といいcertonly万能と考えるシンクロニシティあるのかね >>431 です。
>>453 は夜道に気をつけろよ。 >>455です。
>>454は自分の情弱っぷりに気をつけろよ。 >>454 です。
研究職を舐めない方が身のためと思って教えてあげてるんですよ。
その気になれば、あなたの自宅をスカラー波や低周波で狙い撃ちして、
病気にすることもできるんです。 >>454 です。
研究職というのも本当は違います。
アメリカの秘密組織のエージェントです。
これ以上書くと私が消されるので書きませんが。
まあ気をつけなさい。 >>460
OS のパッケージから certbot 入れたら、自動更新もついでにしてくれるよう
設定がされるよ ■ このスレッドは過去ログ倉庫に格納されています