CertBotでDNS認証で発行したワイルドカード証明書を更新

以前導入したCertBot(しかもDNS認証でワイルドカード証明書発行済)で証明書を更新する。

ついでにHAProxyの証明書も更新しておく。

CertBotで更新作業

Webの記事では”certbot renew”すればよいと見かけるが、複数のSANで登録されているものは対応していないらしい。

[root@myhost01 ~]# certbot renew --manual -d "*.${_mydomain}" -d "${_mydomain}" --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory --manual-public-ip-logging-ok --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Currently, the renew verb is capable of either renewing all installed certificates that are due to be renewed or renewing a single certificate specified by its name. If you would like to renew specific certificates by their domains, use the certonly command instead. The renew verb may provide other options for selecting certificates to renew in the future.

なので、”certbot certonly”で更新する。

[root@myhost01 ~]# certbot certonly --manual -d "*.${_mydomain}" -d "${_mydomain}" --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory --manual-public-ip-logging-ok
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for ${_mydomain}

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.${_mydomain} with the following value:

ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_abcdef

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

Enterを押す前にリソースレコード_acme-challengeを指定された値に更新
更新したらTTL分待って、Enterを押す

Press Enter to Continue
Waiting for verification...
Cleaning up challenges
Resetting dropped connection: acme-v02.api.letsencrypt.org

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/${_mydomain}/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/${_mydomain}/privkey.pem
   Your cert will expire on 2019-09-16. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

[root@myhost01 ~]# 

CertBot側の更新は以上で終了、”/etc/letsencrypt/live/${_mydomain}”以下のシンボリックリンクが更新されている。

HAProxyの証明書を更新

まだ構築途中だがHAProxyの証明書を更新しておく。
HAProxyの証明書は1つのファイルで、サーバ証明書、中間CA証明書、サーバ秘密鍵という順番に収める必要があるので
順にcatして一つのファイルにまとめる。
あとはhaproxyの再起動。

cat /etc/letsencrypt/live/${_mydomain}/{cert,chain,privkey}.pem) > /path/to/haproxy/certfile.pem
systemctl restart haproxy.service

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です