Lets Encryptの更新の通知が来ました。
Lets Encryptの更新の通知が来ました。
- This topic has 7 replies, 2 voices, and was last updated 11 months, 2 weeks ago by
.
-
Posts
-
-
お世話になります。本日、Lets Encryptから以下のメールが届きました。
---
Hello,Your certificate (or certificates) for the names listed below will expire in 15 days (on 25 Jun 22 02:14 +0000). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.
We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let's Encrypt's current 90-day certificates, that means renewing 30 days before expiration. See https://letsencrypt.org/docs/integration-guide/ for details.
---
しかし、以前kusanagiのセットアップで以下のコマンドを打って成功しているので静観で大丈夫という認識ですがよろしいでしょうか?---
kusanagi ssl --email aws-nankatsu-sc@valuence.inc
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Requesting a certificate for prd.nankatsu-sc-dev.com
Performing the following challenges:
http-01 challenge for prd.nankatsu-sc-dev.com
Using the webroot path /home/kusanagi/kusanagi_html/DocumentRoot for all unmatched domains.
Waiting for verification...
Cleaning up challengesIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/prd.nankatsu-sc-dev.com/privkey.pem
Your certificate will expire on 2022-04-24. To obtain a new or
tweaked version of this certificate in the future, simply run
certbot again. To non-interactively renew *all* of your
certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leEnabling auto renewal certificate
Modified nginx/httpd config files and restart.
Done.
--- -
-
-
情報が足りなくて申し訳ありません。kusanagi statusの結果を添付します。
---
kusanagi status
Profile: kusanagi_html
FQDN: http://www.nankatsu-sc.com
Type: WordPress
KUSANAGI Version 8.6.0-1
aws-biz*** (active) nginx ***
● nginx.service - The NGINX HTTP and reverse proxy server
Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: active (running) since Sat 2022-05-14 13:27:38 UTC; 4 weeks 1 days ago*** (active) php7-fpm ***
● php7-fpm.service - The PHP FastCGI Process Manager
Loaded: loaded (/usr/lib/systemd/system/php7-fpm.service; enabled; vendor preset: disabled)
Active: active (running) since Sat 2022-05-14 13:27:39 UTC; 4 weeks 1 days ago*** (active) MariaDB ***
● mariadb.service - MariaDB 10.1.48 database server
Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2022-04-14 01:21:05 UTC; 1 months 29 days ago*** ruby ***
KUSANAGI Ruby is not installed yet*** add-on ***
*** Cache Status ***
bcache off
fcache off*** WAF ***
off*** SELinux ***
offDone.
-
-
-
hanju8810 さん
情報ありがとうございます。
KUSANAGI 8 ですね。1. cron 確認
root ユーザーの cron です。
基本的に cron を調査する際には、権限があるのでしたら全ユーザーの cron を確認する習慣をつけることをオススメします。KUSANAGI 8 であれば通常、毎週日曜日の03:07に自動更新されるはずです。
たぶん、下記のような表記があると思います。07 03 * * 0 /usr/bin/kusanagi update cert
この表記があって実行されていない場合には、何らかの理由で自動更新が失敗していると思います。
cron ログに出力がない場合、一時的にログ出力を追加し問題が発生していないか確認することをオススメします。
letsencrypt.log ログも参考になると思います。2. 手動更新で更新できるか確認
kusanagi update cert (プロファイル名)
エラーが表示された場合でよくわからない場合、エラーメッセージ内容で検索すると解決法が見つかることがあります。
手動で更新できる場合は、cron 側が問題であると切り分けできるかと思います。3. KUSANAGI 8 とパッケージの更新
使用されている KUSANAGI 8 のバージョンは KUSANAGI Version 8.6.0-1 のようです。
最新の KUSANAGI 8 のバージョンは 8.7.1-1 です。
トップページに書かれている通り、他のモジュール含め最新版に更新すると問題が解決することが多いです。
まずは yum update 系の実行をしてみてください。最新版に更新した後、サーバーの再起動後に2.手動更新してみてエラーがないか確認してください。
4. kusanagi autorenewal を オフ/オン
kusanagi autorenewal off
kusanagi autorenewal on5. これでも解決しない場合
原因は色々と考えられますので、まずは一時的に cron ログ出力と確認するところから始めると良いと思います。
"/usr/bin/kusanagi update cert" で検索すると cron で Let's Encrypt が自動更新されないケースがヒットします。
先にも述べた通り原因は色々考えられますので、こちらを一つずつ確認するほうが解決が早いかと思います。 -
[南葛SC対応]
OS再起動も発生するので本日、お客様の許可を得て計作作業をしました。
エラー内容としては以下になります。
---
kusanagi update cert kusanagi_html
Challenge failed for domain prd.nankatsu-sc-dev.com
Failed to renew certificate prd.nankatsu-sc-dev.com with error: Some challenges have failed.
All renewals failed. The following certificates could not be renewed:
/etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem (failure)
1 renew failure(s), 0 parse failure(s)
---対応内容
/etc/letsencrypt/renewal/prd.nankatsu-sc-dev.com.conf が存在しているので証明書更新が正常に動作していないことが分かったのでrenewal]# mv prd.nankatsu-sc-dev.com.conf /root
↑上記を実行したら全てのコマンドが正常動作しました。# kusanagi update cert kusanagi_html
Done.
# kusanagi autorenewal off
Disabling auto renewal certificate
Done.
# kusanagi autorenewal on
Enabling auto renewal certificate
Done.色々とご教示ありがとうございました!
-
- You must be logged in to reply to this topic.
