Let's Encryptの証明書が自動更新されませんでした

サポート
1

こんにちは、

これについて検索してみたのですが、デフォルトの Discourse の方法で Let’s Encrypt 証明書を取得したため、自動更新されるはずでした。しかし、更新されませんでした(下の画像を参照)。

このフォーラムで検索した結果、SSH を使用して certbot をインストールしましたが、「certbot certificates」と入力しても期限切れの証明書が見つからないため、「certbot renew」を実行しても何も起こりません。

何か見落としているのでしょうか?Discourse のインストール環境で証明書を更新するには、具体的に何をすればよいのでしょうか?

ご教示ください。よろしくお願いいたします!

2021-10-04_12-32-11
2021-10-04_12-32-11444×1221 104 KB

「いいね!」 1
2

もしかしてこれが関連していますか?Letsencrypt certificate failure to renew

「いいね!」 2
3

ありがとうございます。:slight_smile: そこでの推奨されている解決策は、アプリを再ビルドして待つことのようです。実は今朝、一般的な予防策としてアプリを再ビルドしました。もしそれが本当に解決策なら、今日の後で自然に直るかもしれませんね。

まだ「期限切れ」と表示されたままです…

「いいね!」 1
4

どのバージョンの Linux を実行していますか?

apt-get updateupgrade も実行しましたか?

「いいね!」 2
5

Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-159-generic x86_64) のようです。

はい、apt-get update と apt-get upgrade を実行し、サーバーを再起動しました。

何らかのアップグレードで問題が解決することを期待していました…

「いいね!」 1
6

証明書を確認しました。有効です。

「いいね!」 1
7

ガヴィン、ありがとうございます。私の Chrome では「有効」と表示されていますが、証明書そのものの情報をクリックすると「期限切れ」と表示されます(添付のスクリーンショットを参照)。

新しい有効な有効期限が表示されていますか?

2021-10-04_13-00-02
2021-10-04_13-00-02311×283 12.7 KB

2021-10-04_13-00-13
2021-10-04_13-00-13444×117 14.4 KB

「いいね!」 1
8

私の側ではすべて問題なさそうです。

新しい日付もすべて含まれています。

「いいね!」 2
9

ああ、よかった。Chrome ではキャッシュを削除してもまだ有効な日付が表示されていませんでしたが、Safari で確認したところ、新しい有効な日付が表示されました。

つまり、アプリの再構築が解決策だったようですね。Chrome は単なるキャッシュの問題だとうれしいのですが。

確認してくださり、ありがとうございます。:slight_smile:

「いいね!」 2
10

問題ありません。いつでもどうぞ :slight_smile:

「いいね!」 2
11

その通りだと思います。場合によっては、<一部のブラウザ> が正しい証明書を報告しないことがあり、それ以上のことは私にはわかりません。

「いいね!」 1
12

キャッシュをクリアして Chrome を再起動しないと、有効な証明書が表示されないケースをいくつか目撃しました。

一部のブラウザには、Let’s Encrypt が終了した古い X1 リーフ証明書を含む「信頼チェーン」がキャッシュされている場合があります。その古い証明書に到達すると、有効期限切れであることを検知してエラーが発生します。:face_with_raised_eyebrow:
問題は、更新されたブラウザは新しい短い信頼チェーンを認識できる一方、古いブラウザは長い信頼チェーンを要求する点にあります。セキュリティ強化のためには、すべてを更新することが重要です。

acme.sh v3.0.1 以上を使って、サーバーを「推奨される信頼チェーン」を使用するように更新する方法の一例は以下の通りです:

Preferred Chain · acmesh-official/acme.sh Wiki · GitHub

letsencrypt でシステム全体で ISRG が推奨する短いチェーンをデフォルトに設定し、その後すべての証明書を更新します。

acme.sh --upgrade
acme.sh --set-default-chain --preferred-chain "ISRG" --server  letsencrypt
acme.sh --renewAll --force

実際、--force フラグが適切なのは非常に稀なケースの一つです。
ただし注意してください。古いブラウザは短い信頼チェーンを拒否し、証明書を取得しようとします。これは、代替の信頼チェーンとしてダウンロードすることも可能です。Let’s Encrypt にはそのための専用リンクがあると思います。確認して、ここで共有します。

「いいね!」 2
13

了解しました、JimPas さん。ありがとうございます。Chrome のキャッシュをクリアして再起動しても、古い証明書が表示されたままです(ただし、他のブラウザでは証明書が更新されていることが確認できます)。

もし代替の信頼チェーンリンクが見つかった場合は、お知らせください。

ご協力ありがとうございます!

「いいね!」 1
14

Chrome ブラウザを更新しましたか?

URL バーに chrome://settings/help と入力してください。

「いいね!」 1
15

遅くなり申し訳ありません。昨夜、ちょっとした事故がありました。X1 と X2 の証明書および中間リーフ証明書のダウンロードリンクを以下に示します。

LE ルート CA 証明書(PEM 形式):

ISRG Root X1
https://letsencrypt.org/certs/isrgrootx1.pem
ISRG Root X2
https://letsencrypt.org/certs/isrg-root-x2.pem

中間証明書(PEM 形式):

Let’s Encrypt R3
https://letsencrypt.org/certs/lets-encrypt-r3.pem

「いいね!」 1