Let's Encrypt 様ご提供のcertbot(-auto)自体は優秀で、はじめにちゃんと設定しておけば自動更新も問題なくできると思います。
この記事は、ワタクシメが初期設定時に自動更新のことは先送りにしたため…
証明書が期限切れにまで及んでからようやく更新しようとしたのだが…
どういうことをしたのか忘れてしまい…
ともかく苦労した。
っというお話しです。
結論としては、一番のトチりポイントは、haproxyを使う時にSSL設定をしたのを忘れていたこと!
今回も安定のPEBCAK!!
っというわけで、SSL証明書の期限が切れてしまいました。
Let's Encrypt 様のありがたい機能で、「期限切れが近いですよ」メールが何度も届いていたにもかかわらず、だ。
せっかくの機能も、活かさなければ台無しですねぇ(-_-;)
で、まぁ、なんとか更新はできた。
っというか、certbotコマンドは正常に終了した。
のに、ブラウザでアクセスしてみると「期限切れてますよー」と表示され、何度更新してみても変わらず…。
これは、いつものアイツの仕業に違いない。
アイツの名前は「キャッシュ」。
なーんて思い込みをし、無駄骨を折る。
ごめんよ、キャッシュ。。
思えば昔にも、お前のせいにしたことがあったなぁ。。。
なんていうのはどうでもいい話で、結論としては前述の通り、haproxyを使っていたためだった。
/etc/haproxy/haproxy.cfg で、
frontend main_https
bind *:443 ssl crt-list /etc/haproxy/crt-list
/etc/haproxy/crt-list で、
/etc/letsencrypt/live/example.com/all.pem example.com
/etc/letsencrypt/live/www.example.com/all.pem www.example.com
/etc/letsencrypt/live/mail.example.com/all.pem mail.example.com
...
という感じで証明書を設定していた。
んで、all.pemというファイルは、certbotスクリプトで作成された下記2ファイルを結合したものだった。
fullchain.pem
privkey.pem
…そう。このall.pemファイルが更新されていなかったので、certbotを何度走らせたって無駄。
無駄無(自粛
おバカだね〜。
っという、お話しでした。
これは例えるならば、課題内容が新しくなっているのに、過去レポを丸写しで提出してしまうようなもの(わっかるかなぁ?わっかんねぇだろぅなぁ…ワイルドだろぉ〜?)。
果たして、今後もこのようなトチりが繰り返されるのでしょうか。
乞うご期待!
