/ Last updated : 2022年6月10日 hanju8810

Lets Encryptの更新の通知が来ました。

TOP Forums インストール(Installing KUSANAGI) Lets Encryptの更新の通知が来ました。

Lets Encryptの更新の通知が来ました。

Viewing 7 reply threads
  • Author
    Posts
    • 2022年6月10日 at 10:37 #969
      hanju8810
      Participant

        お世話になります。本日、Lets Encryptから以下のメールが届きました。

        Hello,

        Your certificate (or certificates) for the names listed below will expire in 15 days (on 25 Jun 22 02:14 +0000). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.

        We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let’s Encrypt’s current 90-day certificates, that means renewing 30 days before expiration. See https://letsencrypt.org/docs/integration-guide/ for details.

        しかし、以前kusanagiのセットアップで以下のコマンドを打って成功しているので静観で大丈夫という認識ですがよろしいでしょうか?


        kusanagi ssl –email aws-nankatsu-sc@valuence.inc
        Saving debug log to /var/log/letsencrypt/letsencrypt.log
        Plugins selected: Authenticator webroot, Installer None
        Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
        Requesting a certificate for prd.nankatsu-sc-dev.com
        Performing the following challenges:
        http-01 challenge for prd.nankatsu-sc-dev.com
        Using the webroot path /home/kusanagi/kusanagi_html/DocumentRoot for all unmatched domains.
        Waiting for verification…
        Cleaning up challenges

        IMPORTANT NOTES:
        – Congratulations! Your certificate and chain have been saved at:
        /etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem
        Your key file has been saved at:
        /etc/letsencrypt/live/prd.nankatsu-sc-dev.com/privkey.pem
        Your certificate will expire on 2022-04-24. To obtain a new or
        tweaked version of this certificate in the future, simply run
        certbot again. To non-interactively renew *all* of your
        certificates, run “certbot renew”
        – If you like Certbot, please consider supporting our work by:

        Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
        Donating to EFF: https://eff.org/donate-le

        Enabling auto renewal certificate
        Modified nginx/httpd config files and restart.
        Done.

      • 2022年6月10日 at 19:48 #970
        cloudy
        Participant

          hanju8810 さん、こんにちは。

          トップページにも記載がありますが、質問の際にはご自身の環境をできるだけ記載ください。
          できる範囲で構いませんが、こちらの情報がないと、回答いただけない場合があります。

          特に、kusanagi status の内容を貼り付けてください。
          KUSANAGI のバージョンなどで回答が変わります。

          一般的な確認方法です。
          Let’s Encrypt 更新は、有効期限30日前から実行可能だったと思います。
          KUSANAGI での SSL 定期更新は cron に設定されていると思うので、 cron の設定内容およびログを確認してみてください。

        • 2022年6月10日 at 20:07 #971
          cloudy
          Participant

            hanju8810 さん、補足です。

            SSL 自動更新設定はされているのですよね?

            kusanagi ssl --auto on

            KUSANAGI 9 コマンド

            KUSANAGI9 コマンド

          • 2022年6月13日 at 11:37 #972
            hanju8810
            Participant

              情報が足りなくて申し訳ありません。kusanagi statusの結果を添付します。


              kusanagi status
              Profile: kusanagi_html
              FQDN: http://www.nankatsu-sc.com
              Type: WordPress
              KUSANAGI Version 8.6.0-1
              aws-biz

              *** (active) nginx ***
              ● nginx.service – The NGINX HTTP and reverse proxy server
              Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
              Active: active (running) since Sat 2022-05-14 13:27:38 UTC; 4 weeks 1 days ago

              *** (active) php7-fpm ***
              ● php7-fpm.service – The PHP FastCGI Process Manager
              Loaded: loaded (/usr/lib/systemd/system/php7-fpm.service; enabled; vendor preset: disabled)
              Active: active (running) since Sat 2022-05-14 13:27:39 UTC; 4 weeks 1 days ago

              *** (active) MariaDB ***
              ● mariadb.service – MariaDB 10.1.48 database server
              Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; vendor preset: disabled)
              Active: active (running) since Thu 2022-04-14 01:21:05 UTC; 1 months 29 days ago

              *** ruby ***
              KUSANAGI Ruby is not installed yet

              *** add-on ***

              *** Cache Status ***
              bcache off
              fcache off

              *** WAF ***
              off

              *** SELinux ***
              off

              Done.

            • 2022年6月13日 at 11:38 #973
              hanju8810
              Participant

                kusanagiユーザでcrontabの設定はないようです。


                crontab -l
                no crontab for kusanagi

              • 2022年6月13日 at 11:44 #974
                hanju8810
                Participant

                  過去の端末のログを見たのですが、下記コマンドは実行履歴がないようです。

                  kusanagi ssl –auto on

                  OS再起動など、特に影響がなければ実行したいのですが大丈夫でしょうか?

                • 2022年6月13日 at 16:25 #975
                  cloudy
                  Participant

                    hanju8810 さん

                    情報ありがとうございます。
                    KUSANAGI 8 ですね。

                    1. cron 確認

                    root ユーザーの cron です。
                    基本的に cron を調査する際には、権限があるのでしたら全ユーザーの cron を確認する習慣をつけることをオススメします。

                    KUSANAGI 8 であれば通常、毎週日曜日の03:07に自動更新されるはずです。
                    たぶん、下記のような表記があると思います。

                    07 03 * * 0 /usr/bin/kusanagi update cert

                    この表記があって実行されていない場合には、何らかの理由で自動更新が失敗していると思います。
                    cron ログに出力がない場合、一時的にログ出力を追加し問題が発生していないか確認することをオススメします。
                    letsencrypt.log ログも参考になると思います。

                    2. 手動更新で更新できるか確認

                    kusanagi update cert (プロファイル名)

                    KUSANAGIコマンド

                    エラーが表示された場合でよくわからない場合、エラーメッセージ内容で検索すると解決法が見つかることがあります。
                    手動で更新できる場合は、cron 側が問題であると切り分けできるかと思います。

                    3. KUSANAGI 8 とパッケージの更新

                    使用されている KUSANAGI 8 のバージョンは KUSANAGI Version 8.6.0-1 のようです。
                    最新の KUSANAGI 8 のバージョンは 8.7.1-1 です。
                    トップページに書かれている通り、他のモジュール含め最新版に更新すると問題が解決することが多いです。
                    まずは yum update 系の実行をしてみてください。

                    KUSANAGI バージョンアップ情報 8.7.1-1

                    最新版に更新した後、サーバーの再起動後に2.手動更新してみてエラーがないか確認してください。

                    4. kusanagi autorenewal を オフ/オン

                    kusanagi autorenewal off
                    kusanagi autorenewal on

                    KUSANAGIコマンド

                    5. これでも解決しない場合

                    原因は色々と考えられますので、まずは一時的に cron ログ出力と確認するところから始めると良いと思います。
                    “/usr/bin/kusanagi update cert” で検索すると cron で Let’s Encrypt が自動更新されないケースがヒットします。
                    先にも述べた通り原因は色々考えられますので、こちらを一つずつ確認するほうが解決が早いかと思います。

                    • This reply was modified 1 year, 10 months ago by cloudy.
                  • 2022年6月15日 at 19:19 #977
                    hanju8810
                    Participant

                      [南葛SC対応]
                      OS再起動も発生するので本日、お客様の許可を得て計作作業をしました。
                      エラー内容としては以下になります。

                      kusanagi update cert kusanagi_html
                      Challenge failed for domain prd.nankatsu-sc-dev.com
                      Failed to renew certificate prd.nankatsu-sc-dev.com with error: Some challenges have failed.
                      All renewals failed. The following certificates could not be renewed:
                      /etc/letsencrypt/live/prd.nankatsu-sc-dev.com/fullchain.pem (failure)
                      1 renew failure(s), 0 parse failure(s)

                      対応内容
                      /etc/letsencrypt/renewal/prd.nankatsu-sc-dev.com.conf が存在しているので証明書更新が正常に動作していないことが分かったので

                      renewal]# mv prd.nankatsu-sc-dev.com.conf /root
                      ↑上記を実行したら全てのコマンドが正常動作しました。

                      # kusanagi update cert kusanagi_html
                      Done.
                      # kusanagi autorenewal off
                      Disabling auto renewal certificate
                      Done.
                      # kusanagi autorenewal on
                      Enabling auto renewal certificate
                      Done.

                      色々とご教示ありがとうございました!

                  • Author
                    Posts
                  Viewing 7 reply threads
                  • You must be logged in to reply to this topic.

                  Next article

                  フォーラムについて
                  2016年11月17日