https://www.knightli.com/ja/tags/lets-encrypt/ Recent content in Let's Encrypt on KnightLiブログ Hugo -- gohugo.io ja Thu, 02 Apr 2026 00:00:00 +0000 https://www.knightli.com/ja/2026/04/02/certbot-auto-renew-nginx/ Thu, 02 Apr 2026 00:00:00 +0000 https://www.knightli.com/ja/2026/04/02/certbot-auto-renew-nginx/ <p>Let&rsquo;s Encrypt 証明書の有効期限は 90 日間のみです。オンライン サイトでは、証明書の有効期限切れによる HTTPS エラーを回避するために自動更新を構成する必要があります。</p> <h2 id="crontabを手動で追加する推奨例">crontabを手動で追加する(推奨例) </h2><p>更新タスクを自分で明示的に管理したい場合は、root ユーザーとして追加します。</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">sudo crontab -e </span></span></code></pre></td></tr></table> </div> </div><p>次の行を追加します (毎日午前 3 時に 1 回実行)。</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-fallback" data-lang="fallback"><span class="line"><span class="cl">0 3 * * * certbot renew --pre-hook &#34;systemctl stop nginx&#34; --post-hook &#34;systemctl start nginx&#34; &gt;&gt; /tmp/certbot-renew.log 2&gt;&amp;1 </span></span></code></pre></td></tr></table> </div> </div><p>このコマンドの意味は次のとおりです。</p> <ul> <li><code>0 3 * * *</code>: 毎日 03:00 に実行</li> <li><code>certbot renew</code>: 有効期限が近づいている証明書を確認して更新します (実際には毎日更新されるわけではありません)。</li> <li><code>--pre-hook</code>: 80/443 ポートの競合を避けるために、更新前に Nginx を停止します (スタンドアロン モードで一般的)</li> <li><code>--post-hook</code>: 更新後のNginxの起動</li> <li><code>&gt;&gt; /tmp/certbot-renew.log 2&gt;&amp;1</code>: トラブルシューティングを容易にするためにログをファイルに追加します</li> </ul> <h2 id="最初に更新のシミュレーションを行うことをお勧めします">最初に更新のシミュレーションを行うことをお勧めします </h2><p>スケジュールされたタスクを追加した後、まずプロセスが利用可能かどうかを手動で確認します。</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">sudo certbot renew --pre-hook <span class="s2">&#34;systemctl stop nginx&#34;</span> --post-hook <span class="s2">&#34;systemctl start nginx&#34;</span> --dry-run </span></span></code></pre></td></tr></table> </div> </div><p>シミュレーションが正常に更新されたことを確認した後、長期実行のためにスケジュールされたタスクに渡されます。</p> <h2 id="共通の注意点">共通の注意点 </h2><ol> <li><code>webroot</code> または <code>nginx</code> プラグインを使用している場合、多くのシナリオで Nginx を停止する必要はありません。代わりに、更新後に構成をリロードすることもできます。</li> </ol> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">certbot renew --deploy-hook <span class="s2">&#34;systemctl reload nginx&#34;</span> </span></span></code></pre></td></tr></table> </div> </div><ol start="2"> <li> <p><code>certbot renew</code> は、証明書の有効期限が近づいた場合にのみ実際の更新を実行するため、1 日に 1 回実行するのが通常の一般的な方法です。</p> </li> <li> <p>長期的な運用とメンテナンスを容易にするために、ログ ディレクトリを長期的に追跡可能な場所 (<code>/var/log/letsencrypt/</code> など) に変更することをお勧めします。</p> </li> </ol>