サーバー上で使っている複数のドメインの内、一部に対して Let's Encrypt が適用されていなかったので、追加適用しました。
Ubuntu 20.04 で Web サーバーとして Nginx を使っています。
すでに Certbot はインストール済みです。
自動更新タイマーの確認
「sudo systemctl status certbot.timer」を実行して、Certbot の自動更新のタイマーが動いているか確認します。
$ sudo systemctl status certbot.timer
[sudo] password for ユーザー名:
● certbot.timer - Run certbot twice daily
Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Wed 2022-05-18 22:15:43 JST; 5 months 2 days ago
Trigger: Fri 2022-10-21 07:14:04 JST; 9h left
Triggers: ● certbot.service
「Active: active (waiting) since Wed 2022-05-18 22:15:43 JST; 5 months 2 days ago」となっている通り、タイマー自体は動いています。
新ドメインへの Let's Encrypt 適用
「$ sudo certbot」を実行します。
$ sudo certbot Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator nginx, Installer nginx Which names would you like to activate HTTPS for? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: www.graffuhs.com 2: example.com 3: sub1.example.com 4: sub2.example.com 5: sub3.example.com 6: www.example.com - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel):
どのドメインに対して HTTPS を有効にするか聞かれます。
今回は「sub3.example.com」に適用したいので「5」と入力しました。
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 5 Obtaining a new certificate Performing the following challenges: http-01 challenge for sub3.example.com Waiting for verification... Cleaning up challenges Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/example.com Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Web サーバーの設定に対して HTTP → HTTPS へのリダイレクトを行うか聞かれますが、実は設定ファイル上ではすでにリダイレクト設定はしておいたので、今回は「1」(リダイレクトなし)とします。
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1 Future versions of Certbot will automatically configure the webserver so that all requests redirect to secure HTTPS access. You can control this behavior and disable this warning with the --redirect and --no-redirect flags. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations! You have successfully enabled https://sub3.example.com You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=sub3.example.com - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
特にエラーもなく、これで完了です。ブラウザで確認してみても鍵マークがついていますね。
ちなみに
もう特にする事はないですが、上記メッセージの最後の行にサイトをテストできる URL が貼ってあったので飛んでみました。
こんな感じです。
それから、証明書と chain(?)、そして鍵ファイルの場所が書いてありました。直接アクセスはできませんでしたが、システム上こんな感じで管理されている様です。
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/sub3.example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/sub3.example.com/privkey.pem Your cert will expire on 2023-01-18. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le