Lets Encryptの更新の通知が来ました。
TOP › Forums › インストール(Installing KUSANAGI) › Lets Encryptの更新の通知が来ました。
Lets Encryptの更新の通知が来ました。
- This topic has 7 replies, 2 voices, and was last updated 1 year, 3 months ago by
hanju8810.
-
AuthorPosts
-
-
2022年6月10日 at 10:37 #969
お世話になります。本日、Lets Encryptから以下のメールが届きました。
---
Hello,Your certificate (or certificates) for the names listed below will expire in 15 days (on 25 Jun 22 02:14 +0000). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.
We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let's Encrypt's current 90-day certificates, that means renewing 30 days before expiration. See https://letsencrypt.org/docs/integration-guide/ for details.
---
しかし、以前kusanagiのセットアップで以下のコマンドを打って成功しているので静観で大丈夫という認識ですがよろしいでしょうか?---
kusanagi ssl --email aws-nankatsu-sc@valuence.inc
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Requesting a certificate for prd.nankatsu-sc-dev.com
Performing the following challenges:
http-01 challenge for prd.nankatsu-sc-dev.com
Using the webroot path /home/kusanagi/kusanagi_html/DocumentRoot for all unmatched domains.
Waiting for verification...
Cleaning up challengesIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/prd.nankatsu-sc-dev.com/privkey.pem
Your certificate will expire on 2022-04-24. To obtain a new or
tweaked version of this certificate in the future, simply run
certbot again. To non-interactively renew *all* of your
certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leEnabling auto renewal certificate
Modified nginx/httpd config files and restart.
Done.
--- -
2022年6月10日 at 19:48 #970
hanju8810 さん、こんにちは。
トップページにも記載がありますが、質問の際にはご自身の環境をできるだけ記載ください。
できる範囲で構いませんが、こちらの情報がないと、回答いただけない場合があります。特に、kusanagi status の内容を貼り付けてください。
KUSANAGI のバージョンなどで回答が変わります。一般的な確認方法です。
Let's Encrypt 更新は、有効期限30日前から実行可能だったと思います。
KUSANAGI での SSL 定期更新は cron に設定されていると思うので、 cron の設定内容およびログを確認してみてください。 -
2022年6月10日 at 20:07 #971
-
2022年6月13日 at 11:37 #972
情報が足りなくて申し訳ありません。kusanagi statusの結果を添付します。
---
kusanagi status
Profile: kusanagi_html
FQDN: http://www.nankatsu-sc.com
Type: WordPress
KUSANAGI Version 8.6.0-1
aws-biz*** (active) nginx ***
● nginx.service - The NGINX HTTP and reverse proxy server
Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: active (running) since Sat 2022-05-14 13:27:38 UTC; 4 weeks 1 days ago*** (active) php7-fpm ***
● php7-fpm.service - The PHP FastCGI Process Manager
Loaded: loaded (/usr/lib/systemd/system/php7-fpm.service; enabled; vendor preset: disabled)
Active: active (running) since Sat 2022-05-14 13:27:39 UTC; 4 weeks 1 days ago*** (active) MariaDB ***
● mariadb.service - MariaDB 10.1.48 database server
Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2022-04-14 01:21:05 UTC; 1 months 29 days ago*** ruby ***
KUSANAGI Ruby is not installed yet*** add-on ***
*** Cache Status ***
bcache off
fcache off*** WAF ***
off*** SELinux ***
offDone.
-
2022年6月13日 at 11:38 #973
kusanagiユーザでcrontabの設定はないようです。
---
crontab -l
no crontab for kusanagi -
2022年6月13日 at 11:44 #974
過去の端末のログを見たのですが、下記コマンドは実行履歴がないようです。
kusanagi ssl --auto on
OS再起動など、特に影響がなければ実行したいのですが大丈夫でしょうか?
-
2022年6月13日 at 16:25 #975
hanju8810 さん
情報ありがとうございます。
KUSANAGI 8 ですね。1. cron 確認
root ユーザーの cron です。
基本的に cron を調査する際には、権限があるのでしたら全ユーザーの cron を確認する習慣をつけることをオススメします。KUSANAGI 8 であれば通常、毎週日曜日の03:07に自動更新されるはずです。
たぶん、下記のような表記があると思います。07 03 * * 0 /usr/bin/kusanagi update cert
この表記があって実行されていない場合には、何らかの理由で自動更新が失敗していると思います。
cron ログに出力がない場合、一時的にログ出力を追加し問題が発生していないか確認することをオススメします。
letsencrypt.log ログも参考になると思います。2. 手動更新で更新できるか確認
kusanagi update cert (プロファイル名)
エラーが表示された場合でよくわからない場合、エラーメッセージ内容で検索すると解決法が見つかることがあります。
手動で更新できる場合は、cron 側が問題であると切り分けできるかと思います。3. KUSANAGI 8 とパッケージの更新
使用されている KUSANAGI 8 のバージョンは KUSANAGI Version 8.6.0-1 のようです。
最新の KUSANAGI 8 のバージョンは 8.7.1-1 です。
トップページに書かれている通り、他のモジュール含め最新版に更新すると問題が解決することが多いです。
まずは yum update 系の実行をしてみてください。最新版に更新した後、サーバーの再起動後に2.手動更新してみてエラーがないか確認してください。
4. kusanagi autorenewal を オフ/オン
kusanagi autorenewal off
kusanagi autorenewal on5. これでも解決しない場合
原因は色々と考えられますので、まずは一時的に cron ログ出力と確認するところから始めると良いと思います。
"/usr/bin/kusanagi update cert" で検索すると cron で Let's Encrypt が自動更新されないケースがヒットします。
先にも述べた通り原因は色々考えられますので、こちらを一つずつ確認するほうが解決が早いかと思います。-
This reply was modified 1 year, 3 months ago by
cloudy.
-
This reply was modified 1 year, 3 months ago by
-
2022年6月15日 at 19:19 #977
[南葛SC対応]
OS再起動も発生するので本日、お客様の許可を得て計作作業をしました。
エラー内容としては以下になります。
---
kusanagi update cert kusanagi_html
Challenge failed for domain prd.nankatsu-sc-dev.com
Failed to renew certificate prd.nankatsu-sc-dev.com with error: Some challenges have failed.
All renewals failed. The following certificates could not be renewed:
/etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem (failure)
1 renew failure(s), 0 parse failure(s)
---対応内容
/etc/letsencrypt/renewal/prd.nankatsu-sc-dev.com.conf が存在しているので証明書更新が正常に動作していないことが分かったのでrenewal]# mv prd.nankatsu-sc-dev.com.conf /root
↑上記を実行したら全てのコマンドが正常動作しました。# kusanagi update cert kusanagi_html
Done.
# kusanagi autorenewal off
Disabling auto renewal certificate
Done.
# kusanagi autorenewal on
Enabling auto renewal certificate
Done.色々とご教示ありがとうございました!
-
-
AuthorPosts
- You must be logged in to reply to this topic.