実験的「実験的日記」

_ 証明書の自動更新

どうにか HTTPS で運用していけそうなので、先日に引き続き hsbt さんが書いているのを見ながら証明書の自動更新する仕組みを用意した。

.ini ファイルを書いて

$ sudo ~/letsencrypt/letsencrypt-auto certonly -c /etc/letsencrypt/letsencrypt.ini

と実行したら何の追加操作も必要なく待っているだけで更新は完了し（Debian 8 だからあっさりできたのかもしれないけれど）

$ sudo ls -lh /etc/letsencrypt/live/246ra.ath.cx/
total 0
lrwxrwxrwx 1 root root 36 Jan 10 09:43 cert.pem -> ../../archive/246ra.ath.cx/cert2.pem
lrwxrwxrwx 1 root root 37 Jan 10 09:43 chain.pem -> ../../archive/246ra.ath.cx/chain2.pem
lrwxrwxrwx 1 root root 41 Jan 10 09:43 fullchain.pem -> ../../archive/246ra.ath.cx/fullchain2.pem
lrwxrwxrwx 1 root root 39 Jan 10 09:43 privkey.pem -> ../../archive/246ra.ath.cx/privkey2.pem

と最新版は二番目のものだよと live ディレクトリ以下の内容が変更されるので Web サーバの設定は書き換える必要なく、更新後に再起動した時点で使用する証明書が最新のものに切り替わるのか。データバックアップのために毎朝再起動するようになっているからそこもクリアできてて、証明書更新のコマンドを crontab に書いておけば仕組みは完成。有効期間は三か月あるが、余裕を見て二カ月に一度更新するようにしておく。