更新、有効な SSL 証明書不再

pbies · 2020 年 7 月 17 日午後 6:26

皆さん、こんにちは。

SSL 証明書が発行された Discourse ウェブページを運用しています。
メールアドレスは app.yaml ファイルに記載されています。

しかし、現在証明書が無効になっているため、更新が必要です。
./launcher rebuild app を実行しても解決しません。

この状況で、証明書を更新するにはどうすればよいでしょうか？

pfaffman · 2020 年 7 月 17 日午後 8:03

サーバーの前に Cloudflare を設置していますか？

pbies · 2020 年 7 月 17 日午後 8:15

Cloudflare が前面にありません。

pfaffman · 2020 年 7 月 17 日午後 8:24

これは Let’s Encrypt の証明書ですか、それとも他の種類の証明書ですか？もし他の証明書であれば、新しい証明書を古い証明書があった場所に配置する必要があります。

あなたのサイトの URL は何ですか？

pbies · 2020 年 7 月 17 日午後 8:38

これは Let’s Encrypt 証明書です。サイト全体のセットアップ時に Let’s Encrypt 用のメールアドレスを追加しました。サイト URL は共有できませんが、必要な情報はすべて提供できます。Discourse は最新バージョンです。

Stephen · 2020 年 7 月 17 日午後 9:58

プロキシが接続を仲介していない限り、Let’s Encrypt は自動的に更新されます。

pbies · 2020 年 7 月 17 日午後 10:15

Chromeの鍵マークが閉じているため証明書は正常と表示されますが、証明書の発行期間が過去になっているため、証明書を開くと「期限切れ」と表示されます。

プロキシは使用していません。

手動で更新する方法はありませんか？

編集：ChromeとWindowsの標準的な証明書情報では「期限切れ」と表示されますが、Firefoxでは正常で日付も有効と表示されます。

JimPas · 2020 年 7 月 18 日午前 1:17

どのクライアントを使用しているかはわかりませんが、certbot certificates を実行すると、有効期限切れのものも含めすべての証明書が表示されます。もしまだ有効期限切れの証明書を使用していて、有効な証明書がある場合は、有効な方をインストールしてください。

個人的な見解ですが、これは community.letsencrypt.org で解決すべき問題のように思われます。

注意点として、Let’s Encrypt は更新の自動化を目的として設計されています。certbot manual コマンドで実行する場合、60〜90 日ごとに手動で更新を行う必要があります。certonly を使用する場合、証明書を生成した後、自分でインストールする必要があります。

pbies · 2020 年 7 月 18 日午前 8:02

証明書アプリを選択したわけではありません。これはデフォルトの Discourse インストールなので、これが certbot なのか acme.sh なのかさえわかりません。

neounix · 2020 年 7 月 18 日午前 8:13

@pbies さん

コードによると:

github.com/discourse/discourse_docker

templates/web.letsencrypt.ssl.template.yml

2dfb77a35

env:
  LETSENCRYPT_DIR: "/shared/letsencrypt"

hooks:
  after_ssl:
    - exec:
       cmd:
         - if [ -z "$LETSENCRYPT_ACCOUNT_EMAIL" ]; then echo "LETSENCRYPT_ACCOUNT_EMAIL ENV variable is required and has not been set."; exit 1; fi
         - /bin/bash -c "if [[ ! \"$LETSENCRYPT_ACCOUNT_EMAIL\" =~ ([^@]+)@([^\.]+) ]]; then echo \"LETSENCRYPT_ACCOUNT_EMAIL is not a valid email address\"; exit 1; fi"

    - exec:
       cmd:
         - cd /root && git clone --branch 2.8.2 --depth 1 https://github.com/Neilpang/acme.sh.git && cd /root/acme.sh
         - touch /var/spool/cron/crontabs/root
         - install -d -m 0755 -g root -o root $LETSENCRYPT_DIR
         - cd /root/acme.sh && LE_WORKING_DIR="${LETSENCRYPT_DIR}" ./acme.sh --install --log "${LETSENCRYPT_DIR}/acme.sh.log"
         - cd /root/acme.sh && LE_WORKING_DIR="${LETSENCRYPT_DIR}" ./acme.sh --upgrade --auto-upgrade

    - file:
       path: "/etc/nginx/letsencrypt.conf"

This file has been truncated. show original

 exec:
       cmd:
         - cd /root && git clone --branch 2.8.2 --depth 1 https://github.com/Neilpang/acme.sh.git && cd /root/acme.sh
         - touch /var/spool/cron/crontabs/root
         - install -d -m 0755 -g root -o root $LETSENCRYPT_DIR
         - cd /root/acme.sh && LE_WORKING_DIR="${LETSENCRYPT_DIR}" ./acme.sh --install --log "${LETSENCRYPT_DIR}/acme.sh.log"
         - cd /root/acme.sh && LE_WORKING_DIR="${LETSENCRYPT_DIR}" ./acme.sh --upgrade --auto-upgrade

お役に立てれば幸いです…

pbies · 2020 年 7 月 18 日午前 8:27

これにより、acme スクリプトがインストールや更新に使用されることが理解できます。しかし、証明書の更新に関するマニュアル手順はまだ見つかりません。それに関するウェブページがあるはずです。後で、コンテナにログインし、このコードに基づいて新しい証明書を発行してみます。

neounix · 2020 年 7 月 18 日午前 8:30

@pbies さん、こんにちは

また、コンテナの crontab ファイルでどのコマンドが実行されているかを確認するために、cron をご覧になるのも面白いかもしれません。

例えば、メインのアプリコンテナでは：

crontab -l

では！

pbies · 2020 年 7 月 26 日午前 1:05

@neounix
証明書を更新する前に、Chrome（特に Windows の証明書情報）では証明書が無効（期限切れ）となっている一方、Firefox では証明書が有効で、有効期限が未来に設定されている理由を知りたいです。

もしかすると、証明書を手動で更新する必要はないのでしょうか？

Dannii · 2020 年 7 月 26 日午前 3:38

ブラウザで証明書の日付を確認しているだけなら、フォーラムのサービスワーカーのせいで古い日付が表示されている可能性があります。これは問題ではないと思いますが（仕組みを完全に理解しているわけではないので）。

neounix · 2020 年 7 月 26 日午前 3:38

@pbies さん

ご自身の設定を任意の方法で構成して試すことができます。

私が行う場合は、私の投稿で説明したように証明書を構成します。それは簡単で問題なく動作するためです。

「証明書分析」を行う必要はありません。無料で問題なく新しい証明書をリクエストできるからです。

pbies · 2020 年 7 月 26 日午前 4:03

試してみましたが、うまくいったかどうかはわかりません。Chrome で Ctrl+F5 を押してサイトを強制的に再読み込みしたところ、証明書が有効になりました。キャッシュの問題のようですね…

皆さん、ありがとうございました！

system · 2020 年 8 月 25 日午前 4:03

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

トピック		返信	表示
Unable to renew Let's encrypt certificate Self-hosting letsencrypt	8	998	2024 年 2 月 7 日
SSL certificate not updated Support	4	55	2026 年 2 月 20 日
Let's Encrypt certificate did not automatically renew Support	14	2198	2021 年 10 月 5 日
Let's Encrypt SSL Certificate Not Renewing Self-hosting letsencrypt	2	182	2024 年 11 月 22 日
Using old ssl certificate instead of letsencrypt after update? Support	3	76	2025 年 12 月 4 日

更新、有効な SSL 証明書不再

関連トピック