KUSANAGIでSSL証明書が取得出来ない時のメモ

ここ最近はKUSANAGIで頭がいっぱい。
今回はCONOHAでは無い環境(さくらVPS)で普通のKUSANAGIを試してみようと
借りていたサーバーの一つをKUSANAGIに変えてみました。
するとSSL証明書が取得出来なくてハマりまくった時のメモ。

広告

さくらVPS KUSANAGIでSSL化するまでのメモ

自分メモなので一通りの流れは省く。

とりあえずKUSANAGIのセットアップまで終わり、
その後KUSANAGIコマンドでSSL化させようとするが・・・

# kusanagi ssl --email john@example.com hoge

Skipping bootstrap because certbot-auto is deprecated on this system.
Your system is not supported by certbot-auto anymore.
Certbot cannot be installed.
Please visit https://certbot.eff.org/ to check for other alternatives.

Your system is not supported by certbot-auto anymore.
だと!!
なんで使えないの??

という事でドハマり。

KUSANAGIのセットアップミスか?
OSアプデでミスったか?

と何度か再インストするも、同じメッセージが・・・

という事で

Please visit https://certbot.eff.org/ to check for other alternatives.

とあるのでサイトを見に行ってみました。
そんで

Nginx on CentOS/RHEL 7

で記載の方法通りに作業


# snap install core

# snap install --classic certbot

# ln -s /snap/bin/certbot /usr/bin/certbot

# certbot --nginx

# certbot certonly --nginx

これでLet’s Encryptの証明書が入りました。

あとは証明書の場所の設定。

nginxの設定を変更

# vim /etc/nginx/conf.d/hoge_ssl.conf

 5 server {
 6      listen       443 ssl http2;
 7      server_name  hoge.com;
 8 
 9      ssl_certificate      /etc/letsencrypt/live/hoge.com/fullchain.pem; 
 10     ssl_certificate_key   /etc/letsencrypt/live/hoge.com/privkey.pem;

『ssl_certificate』『ssl_certificate_key』
の場所を設定してあげる。

/etc/nginx/conf.d/**_http.conf
もリダイレクト設定して良いと思う。
テスト用のサイトではやらなかったけど。

そんで

# service nginx restart

nginx 再起動で終了。

公式には無いやり方をしたので、それが心配。
でも多分新しいCertbotは自動更新も便利になってる気がする。

本家サイトには

Test automatic renewal
The Certbot packages on your system come with a cron job or systemd timer that will renew your certificates automatically before they expire. You will not need to run Certbot again, unless you change your configuration. You can test automatic renewal for your certificates by running this command:

GOOGLE翻訳によると

自動更新をテストする
システムのCertbotパッケージには、有効期限が切れる前に証明書を自動的に更新するcronジョブまたはsystemdタイマーが付属しています。構成を変更しない限り、Certbotを再度実行する必要はありません。次のコマンドを実行して、証明書の自動更新をテストできます。

とあります。
試しにやってみる。


# certbot renew --dry-run

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/***.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator nginx, Installer nginx
Account registered.
Simulating renewal of an existing certificate for ***.com
Performing the following challenges:
http-01 challenge for ***.com
Waiting for verification...
Cleaning up challenges

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed with reload of nginx server; fullchain is
/etc/letsencrypt/live/***.com/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded: 
  /etc/letsencrypt/live/***.com/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -


success ってあるしきっと大丈夫??
放置しておけば勝手に更新してくれそうな気がする。

きっとどこかでKUSANAGI側が対応すると思うんだけど、その時どーなるかは不明です。

ではでは。

ぶっちゃけ さくらVPSよりCONOHA VPSのが全然良かった。






おすすめのコンテンツ

広告

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください