CentOS 7でLet’s Encrypt証明書発行

Facebooktwittermail

個人証明書でPostfix.dovecotのSSL運用を行っていたのですがCentOS 5からCentOS 7への移行で、ついでにLet’s Encrypt証明書を設定してみることにしました。

Let’s Encrypt – Free SSL/TLS Certificates
https://letsencrypt.org/



Let’s Encrypt – Documentation
https://letsencrypt.org/docs/

参考サイト(こちらのサイトの手順をそのまま実行しただけなんですが^^;)
Let’s Encryptの証明書をnginxに設定してhttps化した
https://tsuchikazu.net/lets-encrypt-nginx/
CentOS 7でPostfix+DovecotにLet’s Encryptの無料SSL証明書を適用して通信を暗号化する
https://orebibou.com/2016/11/centos-7でpostfixdovecotにlets-encryptの無料ssl証明書を適用して通信を暗/

  1. Let’s Encrypt clientのインストール
  2. clientのletsencryptとcertbot、何が違うのと思ったら2016年5月まではletsencryptまたはletsencrypt-autoと呼ばれていたんですね。
    https://github.com/certbot/certbot

    Until May 2016, Certbot was named simply letsencrypt or letsencrypt-auto, depending on install method. Instructions on the Internet, and some pieces of the software, may still refer to this older name.

    これからは”git clone https://github.com/certbot/certbot.git”の方がよさそうです。

  3. 証明書の取得
  4. こんなに簡単になってたのか。
    有効期限が2017-07-27(90日)なので”certbot-auto renew”で更新するようにとのこと。またletsencrypt関連のファイルは厳重に管理してバックアップしときなさいですね。

  5. 証明書更新のテスト
  6. 取り敢えず大丈夫そうです。

  7. 証明書更新のタスク設定
  8. Using systemd Timers to Renew Let’s Encrypt Certificates
    https://mjanja.ch/2016/07/using-systemd-timers-to-renew-lets-encrypt-certificates/
    Renewing certificates
    https://certbot.eff.org/docs/using.html#renewing-certificates

    1. /etc/systemd/system/renew-letsencrypt.serviceの作成
    2. /etc/systemd/system/renew-letsencrypt.timerの作成
    3. renew-letsencrypt.timerの有効化
    4. renew-letsencrypt.timerの開始
    5. timerの確認
    6. ログの確認
    7. 一度も実行していないのでログはありません。

certbotサイトにはrenewを1日2回実行するのを推奨していますね。
https://certbot.eff.org/#centosrhel7-other

Note:
if you’re setting up a cron or systemd job, we recommend running it twice per day (it won’t do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let’s Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

追記(2017年4月29日)
ログを確認したところ実行されていました。
更新の必要が無いのでスキップしてhookするプログラムは実行されていません。
想定の動作は更新があればpostfixを再起動なんですが、これだけがちょっと心配。

Leave a Reply