はじめに

Let's Encryptで証明書を発行する場合、standaloneモードでは80ポートを使います。ということは現在稼働しているウェブサービスを一度落とす必要があり、運用上の問題があります。そこでwebrootモードを使い、稼働中のサービスを落とさずにSSL証明書の発行および更新をしたいと思います。

Let's Encryptでイチからwebrootモードを使う場合

まだLet's Encryptを使ったことがない場合は以下のようにやります。ちなみに2016年8月時点での最新のやり方はcertbotを使うことが推奨されています。使い方は今までのLet's Encryptとほぼ同じです。違う点はcertbotは実行するときに最新版チェック＆アップデートを勝手にやってくれることです。当然、自動アップデートは自分でオフに出来ます。certbotは各OS毎にインストールおよび使い方の説明があるので非常にわかりやすいと思います。

インストール

ここではUbuntu14.04 + Nginxの設定で説明します。certbotのページに行けばその他の組み合わせについても解説があります。当然ながら、SSL証明書を発行したいサーバー（＝稼働中のサービスがあるサーバー）で下記手順を実行してください。 以下のコマンドを実行します。

$ wget https://dl.eff.org/certbot-auto
$ chmod a+x certbot-auto
$ ./certbot-auto

使い方

webrootモードは以下のコマンドで実行します。ここでは「example.com」と「www.example.com」のSSL証明書を発行するとします。

$ sudo mkdir -p /var/www/example
$ ./path/to/certbot-auto certonly --webroot -w /var/www/example -d example.com -d www.example.com

自動更新

crontabで以下のコマンドを登録してください。

$ ./path/to/certbot-auto renew --quiet --no-self-upgrade

実行ログを残すなら、以下のコマンド郡をシェルスクリプトにして登録してください。

#!/bin/sh
if ! ./path/to/certbot-auto renew --no-self-upgrade > /var/log/letsencrypt/renew.log 2>&1 ; then
    echo Automated renewal failed:
    cat /var/log/letsencrypt/renew.log
    exit 1
fi
nginx -t && nginx -s reload

standaloneモードからwebrootモードへ移行する場合

私はLet's Encryptをstandaloneで実行していたので、証明書の更新のたびにNginxを停止する必要がありました。ここではstandaloneモードからwebrootモードへの移行を解説します。 更新の設定ファイルは、「/etc/letsencrypt/renewal/*.conf」にあります。それを以下のように書きなおしてください。

# 省略
#authenticator = standalone
authenticator = webroot
webroot-path = /var/www/example
www.example.com = /var/www/example
# 省略

おわりに

Let's Encryptは証明書発行時の設定を保存して、更新時はその設定を見て更新してくれます。なので設定ファイルを弄るだけでstandaloneモードからwebrootモードに簡単に移行できます。