【90日間以内に更新要】Let's Encryptの証明書の有効期限を確認する

サーバ Webセキュリティ設定

「Let’s Encrypt」は無料でSSL証明書を発行できて便利ですが、証明書の有効期限が90日までと決められています。

Let’s Encrypt使いたいけど、更新を忘れないか不安

という方向けに有効期限の確認方法、更新の自動化までご説明します。

使用しているOSはLinux(CentOS7)です。

スポンサーリンク

Let’s Encryptの有効期限の確認はcertbot renewコマンドでOK

有効期限

結論
・certbot renewコマンドで有効期限が確認できる
・期限が近くと同じコマンドで有効期限が更新できる
・certbot renewコマンドを毎日起動すればOK

Let’s Encryptの有効期限を確認する

有効期限の確認は管理者権限でcertbot renewコマンドを実行します。
(有効期限が近い場合は更新されます。)

sudo certbot renew

実行すると以下のようなメッセージが出力されます。この例では「2019/4/13」まで有効であることが確認できます。

The following certs are not due for renewal yet:
/etc/letsencrypt/live/nodeArbitrage.com/fullchain.pem expires on 2019-04-13 (skipped)
No renewals were attempted.

有効期限が30日前になったら更新可能

Let’s Encryptのサーバ証明書は残り30日前からcertbot renewコマンドで更新できるようになります。

コマンドは同じでOK。

sudo certbot renew

成功すると以下のようなメッセージが出力されます。

Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/nodeArbitrage.com/fullchain.pem (success)

90日は変更不可。毎日更新をリクエストするように自動化しよう

公式サイトのFAQに記載されている通り、90日という制約は延長することができません。

certbot renewコマンドを毎日実行することが推奨されているので、管理者ユーザのcrontabに追加しましょう。

管理者権限でcrontab -eを起動

sudo crontab -e

viコマンドでcrontab -eに以下のコマンドを追記(ログの出力先はどこでもOK)

15 04 * * * certbot renew >> /home/xxxx(ユーザ名)/yyyyyyy(システム名)/log/certbot.log

管理者権限(root)のcrontabなので、コマンドの前につけていたsudoは不要です。

上記の例では毎日4時15分にコマンドが実行されます。

SSL証明書はLet’s Encryptがおすすめ

おすすめ

HTTPSを導入して1年経過しましたが、「更新できなかった」ということも特になかったですよ。

90日間て短いかなと思いましたが、記事で紹介した確認手順で一度でも更新されていることが確認できれば問題なく使えます。

「無料でSSL証明書を導入したい」なら是非触ってみてくださいね。

オススメ記事

Node.jsアプリケーションをHTTPS化したいならこちら。
Let’s Encryptの使い方も解説してます。

Node.jsアプリケーションをWeb公開する前に確認したいセキュリティ設定はこちら。

自作アプリケーション初心者にはさくらVPSが手軽で安くておすすめです。

コメント

タイトルとURLをコピーしました