Let’s Encryptから「Update your client software to continue using Let’s Encrypt」というメール通知があったので、 Let’sEncryptで使用されているACME v1 から ACME v2 へアップデートしました。今回はその問題の内容と対処方法について説明します。
Let’s Encryptからの通知内容
以下のようなメールが来ました。
According to our records, your Let's Encrypt software client renewed a
TLS/SSL certificate recently using the ACMEv1 protocol. Here are the details
of one recent ACMEv1 request from each of your account(s):
Client IP address: *****:****:****:***:***:***:**:***
User agent: LetsEncryptPythonClient/0.4.1 (Ubuntu 16.04) Authenticator/standalone Installer/none
Hostname(s): "smartblog365.com"
Request time: 2021-02-28 20:00:10 UTC
On June 1, 2021, you will no longer be able to renew your certificates using
ACMEv1. You should upgrade to an ACMEv2 compatible client before June 1, or
certificate issuance will fail. Until then, we will also have occasional
ACMEv1 issuance and renewal brown-outs each month:現在利用しているLet’s EnxryptのクライアントはTLS/SSL認証証明にACMEv1プロトコルを使用しているが、2021年6月1日にACMEv1は更新が出来なくなり、ACMEv2へのアップデートが必要とのことです。
スマブロ@KENの使用しているLet’s Encryptのクライアントは0.4.1のバージョンを使用していますが、色々検索してみるとLet’s Encryptのクライアントはcertbotというクライアントソフトを使用するのが推奨のようです。
原因とその対処方法について
まずは、現在の ACME バージョンを確認してみます。
$ su
# ls -la /etc/letsencrypt/accounts/
total 12
drwx------ 3 root root 4096 May 12 2018 .
drwxr-xr-x 8 root root 4096 May 12 2018 ..
drwx------ 3 root root 4096 May 12 2018 acme-v01.api.letsencrypt.org
確かにACMEはv01となっています。
また、Ubuntu16.04ではcertbotクライアントを使用しておらず、Let’s Encryptパッケージソフトウェアを使用していましたので、cetbotへの切り替えが必要のようです。
それでは以下にて、Ubuntu16.04でのLet’s Encryptからcertbotへの切り替え方法を説明します。
certbotのインストール
スマブロ@KENは仮想サーバにWordPressをインストールしてブログを運営しています。仮想サーバのソフトウェアは全て自前でメンテナンスしているので、certbotのインストールは自身で行います。
前提の環境
アップデートにおける前提の環境は以下のとおりです。
- OS Ubuntu 16.04 LTS
- Let’s Encryptがインストール済み
- nginxがインストール済み(既にhttps化が実施済み)
リポジトリを追加する
仮想サーバにログインしてリポジトリを追加するコマンドを実行します。
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt update
certbotをインストールする
以下コマンドにて、certbotをインストールします。
$ sudo apt install certbot
certbotのバージョンを確認する
以下のコマンドでcertbotのバージョンを確認します。
$ certbot –version
certbot 0.31.0バージョンは0.31.0になっています。
Let’s Encryptからcertbotへの切り替え
WEBでは既にcertbotを導入済みの方が多いため、Let’s Encryptを導入している方でcertbotへ切り替えを実施している方の情報はなかなか見当たらりませんでした。そこで、まずはcertbotの初期設定でうまくLet’s Encryptのコンフィグ情報が書き換えられるか、バックアップを取った上で試してみることにしました。
証明書の取得
以下のコマンドでSSL証明を再取得してみます。
$ sudo certbot certonly --standalone -d smartblog365.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Cert not yet due for renewal
You have an existing certificate that has exactly the same domains or certificate name you requested and isn't close to expiry.
(ref: /etc/letsencrypt/renewal/smartblog365.com.conf)
What would you like to do?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Keep the existing certificate for now
2: Renew & replace the cert (limit ~5 per 7 days)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for smartblog365.com
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/smartblog365.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/smartblog365.com/privkey.pem
Your cert will expire on 2021-06-12. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
インタプリタにて「2」を選択して証明書をv02で再取得します。
以前、letsencryptで初回起動時に実施した内容(メールアドレス入力、利用規約同意)は引き継がれるようです。
既存の証明書が更新された確認してみる
既存のLet’s Encryptで取得したーバ証明書(公開鍵)(cert.pem)、中間証明書(chain.pem)、サーバ証明書と中間証明書が結合されたファイル(fullchain.pem)、秘密鍵(privkey.pem)が更新されている確認してみます。
$su
# ls -la /etc/letsencrypt/live/smartblog365.com/
total 8
drwxr-xr-x 2 root root 4096 Mar 14 17:17 .
drwx------ 4 root root 4096 May 16 2018 ..
lrwxrwxrwx 1 root root 41 Mar 14 17:17 cert.pem -> ../../archive/smartblog365.com/cert35.pem
lrwxrwxrwx 1 root root 42 Mar 14 17:17 chain.pem -> ../../archive/smartblog365.com/chain35.pem
lrwxrwxrwx 1 root root 46 Mar 14 17:17 fullchain.pem -> ../../archive/smartblog365.com/fullchain35.pem
lrwxrwxrwx 1 root root 44 Mar 14 17:17 privkey.pem -> ../../archive/smartblog365.com/privkey35.pem
# ls -l /etc/letsencrypt/accounts/
total 8
drwx------ 3 root root 4096 May 12 2018 acme-v01.api.letsencrypt.org
drwx------ 2 root root 4096 Mar 14 17:15 acme-v02.api.letsencrypt.org
ACMEのv02を使用していることを確認できます。
Let’sEncryptのコンフィグが更新されているか確認してみる
$ cat /etc/letsencrypt/renew/smartblog365.com.conf
# renew_before_expiry = 30 days
cert = /etc/letsencrypt/live/smartblog365.com/cert.pem
privkey = /etc/letsencrypt/live/smartblog365.com/privkey.pem
chain = /etc/letsencrypt/live/smartblog365.com/chain.pem
fullchain = /etc/letsencrypt/live/smartblog365.com/fullchain.pem
version = 0.31.0
archive_dir = /etc/letsencrypt/archive/smartblog365.com
# Options and defaults used in the renewal process
[renewalparams]
authenticator = standalone
account = ****
以前のLet’s Encrypt(0.4.1)で作成されていたコンフィグがcertbot(0.31.0)で更新されていることが確認できました。
これで準備完了です。
自動的に証明書を更新する
あとは自動的に証明書を更新するため、以前Let’s Encryptをcronに設定していたものをcertbotに書き換えます。
$ sudo crontab -e
# 毎月XX日のYY時にSSL証明書を自動更新する
00 YY XX * * sudo nginx -s stop; sudo certbot renew –force-renewal; sudo nginx
まとめ
2 Let’s EncryptのACMEV1プロトコルは2021年6月1日にサポート終了する
3 今回の対処はcertbotをインストールした
4 certbotにアップデートすることで「「Update your client software to continue using Let’s Encrypt」」は解消した
