Let’s Encrypt の証明書の更新エラー(CentOS7, Certbot)

2021年11月7日
CentOS
テクミュ(Tec-Mu)
製作記

Node.js で走らせている《テクミュ》は,Let’s Encrypt で SSL 化しています。

Let’s Encrypt はフリー自動化されたオープンな認証局です。

(有料の SSL の証明書は高いですね。EV SSL とか,安くても 38,280円/年ですね。)

サーバーは Cent OS です。Certbot を yum でインストールして更新させていたのですが,あるときから,更新時にエラーが出るようになってしまいました。

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
An unexpected error occurred:
SSLError: ("bad handshake: Error([('SSL routines', 'ssl3_get_server_certificate', 'certificate verify failed')],)",)
Please see the logfiles in /var/log/letsencrypt for more details.

そのため,Web サイトにアクセスすると,下のようなエラーが出ます。

これは困る。

SSLError: (“bad handshake: Error([(‘SSL routines’, ‘ssl3_get_server_certificate’, ‘certificate verify failed’)],)”,)

ここがネックですが,このエラーでググっても,解決作が見つかりません。

今一度,Let’s Encrypt の公式ページや Certbot に関する情報を見直してみました。

すると解決。エラーの原因はこちらでした。

2021年にLet’s Encryptのルート証明書が変更!影響や備えておくべきこととは?

Let’s Encrypt のルート証明書の仕様が変わっていたためです。

(「DST Root X3」が certbot で更新できなくなっていた,らしい。)

今,ググってみると,同様の問題が発生しているサイトが多くあったようですね。

Let’s EncryptのルートCA証明書期限切れ、多数のサイトで問題発生

snapd をインストールする

ダメな手順

CentOS7 に Certbot をインストールする手順は,ググったらいくつも出ますが,それらでインストールされる Certbot が古いことが原因でした(多分)。

例えば,多くのサイトでの Certbot のインストール手順は次のとおりです。

(1)EPEL のインストール

$ sudo yum install -y epel-release

(2) certbot のインストール

$ sudo yum install -y certbot python-certbot-apache

(3) 証明書の作成

ここから後は Apache で動かすのか Standalone で取得するのかなどで分岐するため,詳細は略。下はコマンド例。

# certbot certonly --webroot -w /var/www/html/ -d example.com

上で取得した証明書を使うとエラーになります。

もしくは,証明書自体取得できません。

良い手順

ダメな手順では EPEL リポジトリから certbot を引っ張ってきましたが,そうではなく,snapd を用います。

こちらを参照。

certbot instructions

(1) snapd をインストール

epel をとおして,yum でインストールできます。下を参照。

Installing snap on CentOS

(2) core を snap コマンドでインストール

$ sudo snap install core; sudo snap refresh core

core が何を指しているのか分かりませんが(ダメですね),公式サイトに沿って,愚直にインストール。

(3) snap で certbot をインストール

$ sudo snap install --classic certbot

(4) シンボリックリンクを作成

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

これで certbot が叩けます。

ここから後は,環境(Apacheかどうか)によって分岐します。

Apache なら,下のコマンドを打つと証明書を取得して,Virtual Host のファイルを conf.d に作ってくれます。

$ sudo certbot --apache

手動更新時は下のコマンドらしいですね。

$ sudo certbot renew --dry-run

ただ,自動的に,最新の証明書を拾ってくるように設定してくれているようです。

すごい。

サイト表示も元通り

上の手順で,Let’s Encrypt の証明書も無事再取得できました。

CentOS が開発終了したので,次にサーバー立てるときは,CentOS 以外のものを選択すると思います。

CentOS をフォークした OS(「Rocky Linux」とか) か,Ubuntu か。

そのときには,certbot を引っ張ってくるリポジトリも変わっているでしょうから,このような問題は起きないと思います。

Let’s Encrypt 側に仕様変更があっても,無料の証明局なので,文句はいえません。

今後も,ありがたく使わせていただきます。

 新しい記事へ 古い記事へ

 記事一覧へ

投稿に関連する記事抜粋

投稿記事のカテゴリやタグと同じ記事をランダム表示します。

 nginxを用いたリバース・プロキシ
(2022年5月19日)
カテゴリ:
テクミュ(Tec-Mu)
製作記
タグ:
nginx
node.js
 ピーマンと人参を追加。
(2022年5月9日)
カテゴリ:
料理
タグ:
ジャガイモ
タマネギ
ピーマン
人参
 WordPress での GET パラメータの使用について
(2020年1月26日)
カテゴリ:
WordPress
製作記
タグ:
PHP
WordPress
 Webpack4 が うまく走らなかったときのはなし
(2020年5月21日)
カテゴリ:
製作記
タグ:
Atom
JavaScript
node.js
npm
Webpack
 Swift で Core ML Stable Diffusion を実行しようとするとエラーが起こる
(2023年6月29日)
カテゴリ:
AI
タグ:
Stable Diffusion

 直近の記事一覧

 $1499は高い (24年4月28日)
 「サービス維持調整費」 (24年4月23日)
 WordPressでHEICが表示されない (24年4月17日)
 MacBook Air 13インチ(M3, 2024)の第一印象 (24年4月15日)
 Amazon Kindle のポイント還元とゴルゴのセール (23年7月7日)

 カテゴリ一覧

 雑談(172)
アニメ(19)/ゲーム(12)/ドラマ(3)/パソコン(36)/小説(3)/広島東洋カープ(16)/映画(11)/漫画(33)/音楽(61)
 製作記(89)
AI(4)/CakePHP(3)/CentOS(4)/JavaScript(JS)(9)/Nuxt.js(4)/Vue.js(18)/WordPress(23)/料理(10)
 テクミュ(Tec-Mu)(18)

 月別一覧

2024年
4月(4)
2023年
3月(2)
6月(12)
7月(1)
2022年
1月(31)
2月(28)
3月(31)
4月(30)
5月(31)
6月(19)
7月(17)
8月(14)
9月(1)
2021年
1月(1)
3月(3)
4月(8)
11月(31)
12月(32)
2020年
1月(11)
2月(10)
3月(3)
4月(19)
5月(6)
6月(6)
7月(3)
8月(4)
9月(4)
10月(1)
11月(1)
12月(2)

 タグ

平沢進
WordPress
新型コロナウイルス
JavaScript
Vue.js
広島東洋カープ
テクミュ(Tec-Mu)
PHP
Windows
TypeScript
node.js
MacBookPro
Apple
TSUTAYA
TYPE-MOON
macOS
Webpack
Mac
ウクライナ危機
npm
Office
ZCON
魔法使いの夜
ロシア
Bootstrap
Amazon
ダーティペア
伊集院光
ウクライナ
モーニング
ハコヅメ~交番女子の逆襲~
Kindle
サウンドトラック
iPad
WebAudioAPI
Amazon Prime
紛争でしたら八田まで
EndNote
竹箒
Stable Diffusion
.htaccess
Atom
iCloud
phpenv
YouTube
CentOS
Search Replace DB
Homebrew
福間創