Let's Encryptでドメインを追加して証明書を更新した際の期限切れ通知メールについて
数か月前にサーバ環境の見直しで複数あったサーバを一つにまとめたのですが、その際にバラバラに取得していたLet's EncryptのSSL証明を一つにしました。
証明書の取得は正常に完了したので、無事に終わったものと思っていたら、数ヶ月後に期限切れメールが届いて不安になったので、その時のメモになります。
目次
- 実行したSSL証明書更新のコマンド
- 届いたメールの内容
- 最後に
実行したSSL証明書更新のコマンド
certbotを使ってLet's Encryptの証明書を更新したコマンドは以下の通り。
certbot certonly \
--manual \
-d st40.xyz \
-d *.st40.xyz \
-m xxxxxxxxxx@gmail.com \
--agree-tos \
--manual-public-ip-logging-ok \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory
以前はドメインの指定に「*.st40.xyz」だけでしたが、これにルートドメイン「st40.xyz」を追加しました。
届いたメールの内容
以前に取得した証明書の期限切れが近くなって(19日前)、送られてきたメールの内容は以下の通り。
Your certificate (or certificates) for the names listed below will expire in 19 days (on 12 Apr 20 00:10 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
We recommend renewing certificates automatically when they have a third of their
total lifetime left. For Let's Encrypt's current 90-day certificates, that means
renewing 30 days before expiration. See
https://letsencrypt.org/docs/integration-guide/ for details.
*.st40.xyz
For any questions or support, please visit https://community.letsencrypt.org/. Unfortunately, we can't provide support by email.
For details about when we send these emails, please visit https://letsencrypt.org/docs/expiration-emails/. In particular, note that this reminder email is still sent if you've obtained a slightly different certificate by adding or removing names. If you've replaced this certificate with a newer one that covers more or fewer names than the list above, you may be able to ignore this message.
英語ではなんとなくでしか理解できないのでDeepLで翻訳。
下記の名前の証明書(または証明書)は、19日後(4月12日 00:10 +0000)に有効期限が切れます。それまでに証明書を更新してください。
私たちは、証明書を自動的に更新することをお勧めします。
残存期間の合計。Let's Encrypt の現在の 90 日間の証明書の場合、つまり
有効期限の30日前に更新 を参照してください。
https://letsencrypt.org/docs/integration-guide/。
*.st40.xyz
ご質問やサポートについては、https://community.letsencrypt.org/。残念ながら、メールでのサポートは行っておりません。
これらのメールの送信時期についての詳細はこちらをご覧ください。https://letsencrypt.org/docs/expiration-emails/ をご覧ください。特に、名前を追加したり削除したりして、少し変わった証明書を取得した場合でも、このリマインダーメールが送信されることに注意してください。この証明書を、上記のリストよりも多くまたは少ない名前をカバーする新しい証明書に置き換えた場合は、このメッセージを無視できる場合があります。
最初はSSL証明が正しく更新できなったのかと思いましたが、「note that this reminder email is still sent if you've obtained a slightly different certificate by adding or removing names. 」とあるように、ドメインの追加や削除を行った場合にも以前の証明書の期限切れのメールが届く場合があるようです。
最後に
とは言っても、本当に大丈夫かどうか不安だったのですが、期限切れの日が過ぎてもWebサイトにHTTPSで接続でできたので、更新した証明書が有効になっていないのではないか、という心配は杞憂でした。