読者です 読者をやめる 読者になる 読者になる

らくがきちょう

なんとなく

Let's Encrypt の証明書を自動更新する+有効期間をメール通知する

Let's Encrypt で取得した証明書の有効期限は 90 日です。これを自動更新するには以下のように設定します。古くなった証明書の削除には tmpwatch を使っている為、tmpwatch がインストールされていることが前提です(tmpwatch については過去記事を参照)。

証明書の自動更新

/etc/cron.weekly/update-letsencrypt.sh というファイルを以下の内容で新規作成します。証明書の有効期間が 30 日未満の状態で certbot-auto renew を実行すると証明書が更新されます。30 日以上の期間が残っている場合は何も実行されません。タイムスタンプが 90 日以上古くなっている証明書は tmpwatch を使って削除します。

#!/bin/sh
/home/[USERNAME]/certbot/certbot-auto renew
/usr/sbin/tmpwatch -m 90d /etc/letsencrypt/archive/[FQDN]

証明書の有効期間をチェックし、メールで通知する

証明書の有効期間をチェックし、メールで通知するには以下のようなスクリプトを cron で定期実行させます。もっと良い方法もあるかも知れません。

#!/bin/sh

MAIL_TO=[通知先メールアドレス]
FQDN=[FQDN]

TIME=`/bin/date "+%Y/%m/%d %H:%M:%S"`
HOSTNAME=`/bin/hostname`

BEFORE=`openssl s_client -connect ${FQDN}:443 < /dev/null 2> /dev/null | openssl x509 -text | grep "Not Before"`
BEFORE=`echo ${BEFORE}`

AFTER=`openssl s_client -connect ${FQDN}:443 < /dev/null 2> /dev/null | openssl x509 -text | grep "Not After"`
AFTER=`echo ${AFTER}`

echo "Time\t${TIME}\nHost\t${HOSTNAME}\n\n${BEFORE}\n${AFTER}" | /usr/bin/mail -s "[CERT]${HOSTNAME} (${TIME})" ${MAIL_TO}