mayumi
このWebサイトがNapierで運用されるようになってからおよそ90日が経とうとしています。
SSLの証明書にはLet's Encryptを利用しています。
Let's Encryptの証明書は3か月更新なので、登録したメールアドレス宛に証明書の期限切れアラートのメールが届きました。
ちょうど良い機会なので、Napier-NET上でのSSL証明書の更新手順をまとめておこうと思います。
1.証明書更新
通常はcertbot renew
で更新ができるらしいのですが、DNS認証を使って証明書を作成したため、このコマンドは使えません。
今回のケースでは以下のように作成時と同じコマンドを使用し、-dオプションで更新するドメイン名を指定します。
$ sudo certbot certonly --manual --preferred-challenges dns -d "<更新するドメイン名>"
IPアドレスを記録して良いか聞かれます。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: yes
DNS認証を要求されます。認証に成功すれば証明書が更新されます。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.<ドメイン名> with the following value:
<DNSレコードに指定するコード>
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/<ドメイン名>/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/<ドメイン名>/privkey.pem
Your cert will expire on 2023-10-30. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
このあたりの詳細は「脱クラウド計画(4)」をご覧ください。
2.Napier-NETのプロファイル上の証明書を更新
更新した証明書を使うようにNapier-NETに設定していきます。
2-1.Napier-NETにアクセス
右上のログインからアカウントがあればそのままログイン、アカウントがなければ「Register a new membership」のリンクから作成します
2. 更新したい証明書のプロファイルをクリック
2-3.「Private key」と「Certificate」を生成したprivatekeyと証明書の内容に置き換え、保存します。
Private key: /etc/letsencrypt/live/<ドメイン名>/privkey.pem
Certificate:/etc/letsencrypt/live/<ドメイン名>/fullchain.pem
3.Napier-Clientの再起動
$ napier-client --config <Napierの設定ファイル> プロファイル名
Napier-Clientを再起動すると、新しい証明書がブラウザで確認できます。これで証明書の更新は終わりです。
新機能も追加されました
Napier-NET、Napier-Clientのリリースからも3か月経ちました。クライアントの機能がアップデートされ、マクロやURL置き換え等より使いやすくなりました🎉
新機能はドキュメント整備中ですが、よかったら使ってみてください。