"Update your client software to continue using Let's Encrypt"

2020-02-04T14:05:06+09:00

Let's Encryptからそんなメールが来たあなた、さてはサーバソフトウェアの更新をサボっていますね？ぼくもです😀

これが来た人が何をしないといけないのかをまとめました。簡単に言うと certbot を更新しましょう

何言われてるの？

According to our records, the software client you're using to get Let's
Encrypt TLS/SSL certificates issued or renewed at least one HTTPS certificate
in the past two weeks using the ACMEv1 protocol. Your client's IP address was:

...

ここ二週間の記録によると、Let's Encrypt TLS/SSL 証明書を取るために使っているクライアント、ACMEv1 プロトコルを使ってるようです。IPアドレスはこれ

Beginning June 1, 2020, we will stop allowing new domains to validate using
the ACMEv1 protocol.
You should upgrade to an ACMEv2 compatible client before then, or certificate issuance will fail. For most people, simply upgrading to the latest version of your existing client will suffice.

2020/01/01から、ACMEv1プロトコルでのドメイン認証は停止されます。
ACMEv2を使うクライアントソフトウェアに移行しないと、証明書が更新できなくなります。大多数の人にとっては、単に使っているクライアントソフトウェアを更新すればよいはずです。

(訳注それ以外の人についての説明があるけど、そんな人はこの記事読まないので中略)

ACMEv1 API deprecation details can be found in our community forum:
https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1

ACMEv1 APIの廃止についての詳細はコミュニティフォーラムで見ることが出来ます。
https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1
(訳注廃止の進め方の話題なので、ぼくらが何をするかの説明は載ってないぽい)

どうすりゃいいの？

certbotを更新すればOKです。

ぼくの使っているCentOSだと

$ sudo yum update certbot
:
=================================================================================================
       Package                                       Arch                        Version                                                  =================================================================================================
Updating:
 certbot                                       noarch                      1.0.0-1.el7
 python-requests                               noarch                      2.6.0-8.el7_7    
:
  Updating   : certbot-1.0.0-1.el7.noarch      
Complete!

という感じでした。

certbotには自動更新のためのtimerがついているので、これを使っている人は念の為リロードしておきましょう

$ sudo systemctl daemon-reload

自分でcrontab書いた人は自前でなんとかしてね。せっかくcertbotがtimerを用意してくれているので、こっちを使うことをおすすめするよ。

動作確認

一回手動で動かしておけばいいかなと。

$ sudo systemctl start certbot-renew
$ sudo systemctl status certbot-renew
* certbot-renew.service - This service automatically renews any certbot certificates found
   Loaded: loaded (/usr/lib/systemd/system/certbot-renew.service; static; vendor preset: disabled)
   Active: inactive (dead) since Tue 2020-02-04 13:06:36 JST;
   Process: 27876 ExecStart=/usr/bin/certbot renew ...
   Main PID: 27876 (code=exited, status=0/SUCCESS)
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: Processing /etc/letsencrypt/renewal/oasis.mogya.com.conf
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: Cert not yet due for renewalbot-renew.timer
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: The following certs are not due for renewal yet:
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: /etc/letsencrypt/live/oasis.mogya.com/fullchain.pem expires on 2020-04-09 (skipped)
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: No renewals were attempted.
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: No hooks were run.
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Feb 04 13:06:36 linode10.mogya.com systemd[1]: Started This service automatically renews any certbot certificates found.

こんな感じで、"Cert not yet"(期限がまだだから更新しなかったよ)的なログが出れば大丈夫かと思います。

心配な人は、expires on の日付にリマインダを仕掛けておいて動作確認しましょう

その他

　たまにルータなんかが勝手にLet's Encrypt にアクセスして証明書をとってくる仕組みになっているものがあるらしいです。
自分で証明書を取得した記憶がないのにこのメールを受け取った人は、この記事の対象じゃないので、ルータメーカーのサポートに相談するのがいいんじゃないかと思います。

少人数で高速でスマホとwebサービスを立ち上げたかったらdocker、letsencrypt、swagger、Flutter

2018-10-19T18:29:16+09:00

概要

スマホアプリを作る場合、API用のサーバ立ててスマホアプリのクライアントからRESTでジャラジャラ繋ぐと思うんだけど、サーバ側の構築にコストかけられない。
ドメイン取ってコードをデプロイしたらさっとAPIサーバくらいは立って欲しいと思う。その場合、DockerでさっとSSL化自動で証明書取得されると素敵じゃないですか。

Docker

それならばdockerイメージでいいのがあったので、使い倒しましょう。

jwilder/nginx-proxy

jrcs/letsencrypt-nginx-proxy-companion

上のDockerイメージをdocker-compose.ymlに記述して、docker-compose up -dを実行するだけで、let's Encryptによる自動SSL化機能のついたletsencrypt-nginx-proxy-companionと、nginx-proxyが立ち上がります。

nginx-proxy/docker-compose.yml
version: '2'
services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx-proxy
    ports:
      - 80:80
      - 443:443
    volumes:
      - ./certs:/etc/nginx/certs:ro
      - /etc/nginx/vhost.d
      - /usr/share/nginx/html
      - /var/run/docker.sock:/tmp/docker.sock:ro
    restart: always
  letsencrypt-nginx-proxy-companion:
    image: jrcs/letsencrypt-nginx-proxy-companion
    container_name: nginx-letsencrypt
    volumes:
      - ./certs:/etc/nginx/certs
      - /var/run/docker.sock:/var/run/docker.sock:ro
    volumes_from:
      - nginx-proxy
    restart: always

参考URL： Dockerで簡単にマルチドメインかつSSL証明（自動更新） nginx-proxyとLetsEncrypt

Swagger

API側はSwaggerでサクッと作ります。

Swagger Editorを使ってswagger.yml（swagger.jsonでも可）を書けば、モックとして起動もできるし、サーバー側、クライアント側それぞれの言語でのソースも自動生成できる。最終的には、APIドキュメントも生成できるので、一度yaml、またはjsonを作って仕舞えば、同じAPI設計のアプリを量産できる優れもの。

Flutter

問題はアプリ側、こちらはさっと作る手段がまだなくてせいぜいFlutterでAndroidとiOSを同時にビルドするくらいなもの。

もう少し検証と実践を積んだら記事にします。

結論

じゃんじゃんアプリとWebを作って世の中の技術向上に貢献しましょう！

補足

私のWordpressも、上記のDocker、Let's Encryptの環境に移行しました。

「letsencrypt」の記事 - Crieit

"Update your client software to continue using Let's Encrypt"

少人数で高速でスマホとwebサービスを立ち上げたかったらdocker、letsencrypt、swagger、Flutter