Lets Encryptの更新の通知が来ました。

TOP Forums インストール(Installing KUSANAGI) Lets Encryptの更新の通知が来ました。

Lets Encryptの更新の通知が来ました。

Viewing 7 reply threads
  • Author
    Posts
    • #969
      hanju8810
      Participant

      お世話になります。本日、Lets Encryptから以下のメールが届きました。
      ---
      Hello,

      Your certificate (or certificates) for the names listed below will expire in 15 days (on 25 Jun 22 02:14 +0000). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.

      We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let's Encrypt's current 90-day certificates, that means renewing 30 days before expiration. See https://letsencrypt.org/docs/integration-guide/ for details.
      ---
      しかし、以前kusanagiのセットアップで以下のコマンドを打って成功しているので静観で大丈夫という認識ですがよろしいでしょうか?

      ---
      kusanagi ssl --email aws-nankatsu-sc@valuence.inc
      Saving debug log to /var/log/letsencrypt/letsencrypt.log
      Plugins selected: Authenticator webroot, Installer None
      Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
      Requesting a certificate for prd.nankatsu-sc-dev.com
      Performing the following challenges:
      http-01 challenge for prd.nankatsu-sc-dev.com
      Using the webroot path /home/kusanagi/kusanagi_html/DocumentRoot for all unmatched domains.
      Waiting for verification...
      Cleaning up challenges

      IMPORTANT NOTES:
      - Congratulations! Your certificate and chain have been saved at:
      /etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem
      Your key file has been saved at:
      /etc/letsencrypt/live/prd.nankatsu-sc-dev.com/privkey.pem
      Your certificate will expire on 2022-04-24. To obtain a new or
      tweaked version of this certificate in the future, simply run
      certbot again. To non-interactively renew *all* of your
      certificates, run "certbot renew"
      - If you like Certbot, please consider supporting our work by:

      Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
      Donating to EFF: https://eff.org/donate-le

      Enabling auto renewal certificate
      Modified nginx/httpd config files and restart.
      Done.
      ---

    • #970
      cloudy
      Participant

      hanju8810 さん、こんにちは。

      トップページにも記載がありますが、質問の際にはご自身の環境をできるだけ記載ください。
      できる範囲で構いませんが、こちらの情報がないと、回答いただけない場合があります。

      特に、kusanagi status の内容を貼り付けてください。
      KUSANAGI のバージョンなどで回答が変わります。

      一般的な確認方法です。
      Let's Encrypt 更新は、有効期限30日前から実行可能だったと思います。
      KUSANAGI での SSL 定期更新は cron に設定されていると思うので、 cron の設定内容およびログを確認してみてください。

    • #971
      cloudy
      Participant

      hanju8810 さん、補足です。

      SSL 自動更新設定はされているのですよね?

      kusanagi ssl --auto on

      KUSANAGI 9 コマンド

      KUSANAGI9 コマンド

    • #972
      hanju8810
      Participant

      情報が足りなくて申し訳ありません。kusanagi statusの結果を添付します。

      ---
      kusanagi status
      Profile: kusanagi_html
      FQDN: http://www.nankatsu-sc.com
      Type: WordPress
      KUSANAGI Version 8.6.0-1
      aws-biz

      *** (active) nginx ***
      ● nginx.service - The NGINX HTTP and reverse proxy server
      Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
      Active: active (running) since Sat 2022-05-14 13:27:38 UTC; 4 weeks 1 days ago

      *** (active) php7-fpm ***
      ● php7-fpm.service - The PHP FastCGI Process Manager
      Loaded: loaded (/usr/lib/systemd/system/php7-fpm.service; enabled; vendor preset: disabled)
      Active: active (running) since Sat 2022-05-14 13:27:39 UTC; 4 weeks 1 days ago

      *** (active) MariaDB ***
      ● mariadb.service - MariaDB 10.1.48 database server
      Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; vendor preset: disabled)
      Active: active (running) since Thu 2022-04-14 01:21:05 UTC; 1 months 29 days ago

      *** ruby ***
      KUSANAGI Ruby is not installed yet

      *** add-on ***

      *** Cache Status ***
      bcache off
      fcache off

      *** WAF ***
      off

      *** SELinux ***
      off

      Done.

    • #973
      hanju8810
      Participant

      kusanagiユーザでcrontabの設定はないようです。

      ---
      crontab -l
      no crontab for kusanagi

    • #974
      hanju8810
      Participant

      過去の端末のログを見たのですが、下記コマンドは実行履歴がないようです。

      kusanagi ssl --auto on

      OS再起動など、特に影響がなければ実行したいのですが大丈夫でしょうか?

    • #975
      cloudy
      Participant

      hanju8810 さん

      情報ありがとうございます。
      KUSANAGI 8 ですね。

      1. cron 確認

      root ユーザーの cron です。
      基本的に cron を調査する際には、権限があるのでしたら全ユーザーの cron を確認する習慣をつけることをオススメします。

      KUSANAGI 8 であれば通常、毎週日曜日の03:07に自動更新されるはずです。
      たぶん、下記のような表記があると思います。

      07 03 * * 0 /usr/bin/kusanagi update cert

      この表記があって実行されていない場合には、何らかの理由で自動更新が失敗していると思います。
      cron ログに出力がない場合、一時的にログ出力を追加し問題が発生していないか確認することをオススメします。
      letsencrypt.log ログも参考になると思います。

      2. 手動更新で更新できるか確認

      kusanagi update cert (プロファイル名)

      KUSANAGIコマンド

      エラーが表示された場合でよくわからない場合、エラーメッセージ内容で検索すると解決法が見つかることがあります。
      手動で更新できる場合は、cron 側が問題であると切り分けできるかと思います。

      3. KUSANAGI 8 とパッケージの更新

      使用されている KUSANAGI 8 のバージョンは KUSANAGI Version 8.6.0-1 のようです。
      最新の KUSANAGI 8 のバージョンは 8.7.1-1 です。
      トップページに書かれている通り、他のモジュール含め最新版に更新すると問題が解決することが多いです。
      まずは yum update 系の実行をしてみてください。

      KUSANAGI バージョンアップ情報 8.7.1-1

      最新版に更新した後、サーバーの再起動後に2.手動更新してみてエラーがないか確認してください。

      4. kusanagi autorenewal を オフ/オン

      kusanagi autorenewal off
      kusanagi autorenewal on

      KUSANAGIコマンド

      5. これでも解決しない場合

      原因は色々と考えられますので、まずは一時的に cron ログ出力と確認するところから始めると良いと思います。
      "/usr/bin/kusanagi update cert" で検索すると cron で Let's Encrypt が自動更新されないケースがヒットします。
      先にも述べた通り原因は色々考えられますので、こちらを一つずつ確認するほうが解決が早いかと思います。

      • This reply was modified 1 week, 4 days ago by cloudy.
    • #977
      hanju8810
      Participant

      [南葛SC対応]
      OS再起動も発生するので本日、お客様の許可を得て計作作業をしました。
      エラー内容としては以下になります。
      ---
      kusanagi update cert kusanagi_html
      Challenge failed for domain prd.nankatsu-sc-dev.com
      Failed to renew certificate prd.nankatsu-sc-dev.com with error: Some challenges have failed.
      All renewals failed. The following certificates could not be renewed:
      /etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem (failure)
      1 renew failure(s), 0 parse failure(s)
      ---

      対応内容
      /etc/letsencrypt/renewal/prd.nankatsu-sc-dev.com.conf が存在しているので証明書更新が正常に動作していないことが分かったので

      renewal]# mv prd.nankatsu-sc-dev.com.conf /root
      ↑上記を実行したら全てのコマンドが正常動作しました。

      # kusanagi update cert kusanagi_html
      Done.
      # kusanagi autorenewal off
      Disabling auto renewal certificate
      Done.
      # kusanagi autorenewal on
      Enabling auto renewal certificate
      Done.

      色々とご教示ありがとうございました!

Viewing 7 reply threads
  • You must be logged in to reply to this topic.

Next article

フォーラムについて