SSL証明書更新 甘くなかった

3月に設定したSSL証明書。 Let’s Encrypt の無料証明書は更新期間が短い。WIN-ACMEで更新を毎日バッチ実行してけば大丈夫だと思っていましたが、甘くなかった。FTPサーバーを立てての自動更新を試みたのですが、おそらく何かの設定が悪くて、チェック用のファイルは受け取ったものの、その確認ができないようでした。今思えば、Webアクセスできる場所にファイルが保存されるようにして、それを、http で取得しに来るのだったかもしれません。何でそんなこと気づかなかったかアホですが、今時間が無いので後日設定を試みます。3月はそこまで考えられず、適当な場所に受信していました。ドメインの確認なのですから、FTPで送り込まれたファイルをFTPで取得できるようにしても意味無いですね。

で、マニュアルの方のバッチ実行ですが、思っていたほど甘くなく、まぁ、考えてみればタスクで実行できるのであれば、マニュアルではないし、何の確認にもなりませんよね。結局、バッチ実行は毎回エラーになっていたようで、Let’s Encrypt から親切にも、更新しないとやばいよメールが来ました。

考えれば当然ですが、更新時の確認ですから、更新時に発番されたコードをDNSのTXTに(マニュアルで)設定して、それをプログラムが確認することで、そのドメインを確認することになりますから、毎回TXTの内容が変わります。これを私は勘違いして、一度確認されたら更新時は更新を要求するだけで確認されないものと思っていたわけですが、それほど甘くなかったということです。

しばらく理由がわからず、その後バッチ実行のエラーメッセージにDNSにTXTを設定しろと出ている事に気づいて、設定したものの、やはりバッチ実行ではエラーとなり、悩んでいたのですが、エラーメッセージに出ていたものは、前回のチャレンジ文字で、結局、wacs コマンド実行で手作業で更新しなければならなかったのでした。

最終的に、wacs を実行して、 R: Run all renewals を選択し、あとは、指示されるままに、前回と同様にDNSのTXTを設定して5分待って次、削除して次を、管理している3つのドメイン分やらなければなりませんでした。

今日(6/10)更新した証明書が、9/8 まで有効です。次回更新は、8月初旬から可能だそうです。できれば、それまでに、FTPを使った設定に変えておきたいと思っています。

なお、次回の自分のためのめもですが、DNS の設定で、TXT を設定する場合、

ホスト名に、”_acme-challenge” で、ターゲットに、チャレンジ文字を設定します。ツールでは、次のように表示されますが、ホスト名に、”_acme-challenge.hajimesan.net” を設定してはダメです。慣れた人なら常識だと思いますが、私はあまり慣れていないので、はまりました。ちなみに、ValueDomain では、ダブルクォートは不要でした。

Domain: hajimesan.net
Record: _acme-challenge.hajimesan.net
Type: TXT
Content: “3k2vdXUu______________________d4F8r-xs”
Note: Some DNS managers add quotes automatically. A single set
is needed.

カテゴリー: ZAKKI パーマリンク

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください