さて、前回までに certbot をインストールしましたが、それと同時に自動更新の仕組みもセットされています。
Let's Encrypt 証明書を入手するために、certbot-auto を使うなど初期の頃は cron.d にセッティングしたり、面倒なんで3ヶ月置きに renew していましたが、これも必要ありません。
(2016年後半にはかなり進化したようですが、Raspbianには降りて来てなかったのかなぁ)
Raspbian(Debian) Stretch へ certbot をインストールすると systemd 配下へ certbot.timerが組み込まれ、これにより定期的に renew が行われます。
/lib/systemd/system/certbot.timer
[Unit]
Description=Run certbot twice daily
[Timer]
OnCalendar=*-*-* 00,12:00:00
RandomizedDelaySec=43200
Persistent=true
[Install]
WantedBy=timers.target
/lib/systemd/system/certbot.service
[Service]
Type=oneshot
ExecStart=/usr/bin/certbot -q renew
PrivateTmp=true
毎日2回、0時と12時を基準に、43200秒(12時間)以内のランダムな時刻に certbot renew を実行するようです。
一日2回は多いのかと思いましたが、certbot の推奨です。
renew は証明書の期限30日前になると更新されるようです。
ログを見ると、朝・晩と renew でチェックされていますが、今後どのタイミングで更新されるか楽しみです。
*****
(2019-07-20追記)
証明書期限のちょうど30日前で、証明書の更新が行われました。正しく実行できているようです。
.end
0 件のコメント:
コメントを投稿