ここ最近はKUSANAGIで頭がいっぱい。
今回はCONOHAでは無い環境(さくらVPS)で普通のKUSANAGIを試してみようと
借りていたサーバーの一つをKUSANAGIに変えてみました。
するとSSL証明書が取得出来なくてハマりまくった時のメモ。
さくらVPS KUSANAGIでSSL化するまでのメモ
自分メモなので一通りの流れは省く。
とりあえずKUSANAGIのセットアップまで終わり、
その後KUSANAGIコマンドでSSL化させようとするが・・・
# kusanagi ssl --email john@example.com hoge Skipping bootstrap because certbot-auto is deprecated on this system. Your system is not supported by certbot-auto anymore. Certbot cannot be installed. Please visit https://certbot.eff.org/ to check for other alternatives.
Your system is not supported by certbot-auto anymore.
だと!!
なんで使えないの??
という事でドハマり。
KUSANAGIのセットアップミスか?
OSアプデでミスったか?
と何度か再インストするも、同じメッセージが・・・
という事で
Please visit https://certbot.eff.org/ to check for other alternatives.
とあるのでサイトを見に行ってみました。
そんで
で記載の方法通りに作業
# snap install core # snap install --classic certbot # ln -s /snap/bin/certbot /usr/bin/certbot # certbot --nginx # certbot certonly --nginx
これでLet’s Encryptの証明書が入りました。
あとは証明書の場所の設定。
nginxの設定を変更
# vim /etc/nginx/conf.d/hoge_ssl.conf
5 server {
6 listen 443 ssl http2;
7 server_name hoge.com;
8
9 ssl_certificate /etc/letsencrypt/live/hoge.com/fullchain.pem;
10 ssl_certificate_key /etc/letsencrypt/live/hoge.com/privkey.pem;
『ssl_certificate』『ssl_certificate_key』
の場所を設定してあげる。
/etc/nginx/conf.d/**_http.conf
もリダイレクト設定して良いと思う。
テスト用のサイトではやらなかったけど。
そんで
# service nginx restart
nginx 再起動で終了。
公式には無いやり方をしたので、それが心配。
でも多分新しいCertbotは自動更新も便利になってる気がする。
本家サイトには
Test automatic renewal
The Certbot packages on your system come with a cron job or systemd timer that will renew your certificates automatically before they expire. You will not need to run Certbot again, unless you change your configuration. You can test automatic renewal for your certificates by running this command:
GOOGLE翻訳によると
自動更新をテストする
システムのCertbotパッケージには、有効期限が切れる前に証明書を自動的に更新するcronジョブまたはsystemdタイマーが付属しています。構成を変更しない限り、Certbotを再度実行する必要はありません。次のコマンドを実行して、証明書の自動更新をテストできます。
とあります。
試しにやってみる。
# certbot renew --dry-run - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing /etc/letsencrypt/renewal/***.com.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Cert not due for renewal, but simulating renewal for dry run Plugins selected: Authenticator nginx, Installer nginx Account registered. Simulating renewal of an existing certificate for ***.com Performing the following challenges: http-01 challenge for ***.com Waiting for verification... Cleaning up challenges - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - new certificate deployed with reload of nginx server; fullchain is /etc/letsencrypt/live/***.com/fullchain.pem - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations, all simulated renewals succeeded: /etc/letsencrypt/live/***.com/fullchain.pem (success) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
success ってあるしきっと大丈夫??
放置しておけば勝手に更新してくれそうな気がする。
きっとどこかでKUSANAGI側が対応すると思うんだけど、その時どーなるかは不明です。
ではでは。
ぶっちゃけ さくらVPSよりCONOHA VPSのが全然良かった。
