SSL certificate has expired

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# リモートサーバーの証明書を確認
echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

# 出力例
# notBefore=Jan  1 00:00:00 2024 GMT
# notAfter=Apr  1 00:00:00 2024 GMT

# 詳細情報
echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -text -noout

# curl で確認
curl -vI https://example.com 2>&1 | grep -E "expire|subject|issuer"

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

# certbot で証明書を更新
sudo certbot renew

# 特定のドメインを更新
sudo certbot certonly --nginx -d example.com

# 強制更新
sudo certbot renew --force-renewal

# ドライラン（テスト）
sudo certbot renew --dry-run

# 証明書の状態を確認
sudo certbot certificates

1
2
3
4
5
6
7

# cron で自動更新（2回/日が推奨）
sudo crontab -e
0 0,12 * * * /usr/bin/certbot renew --quiet

# systemd timer で自動更新
sudo systemctl status certbot.timer
sudo systemctl enable certbot.timer

1
2
3
4
5
6
7
8

# /etc/nginx/sites-available/example.com
server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
}

1
2
3

# 証明書更新後、Nginx を再読み込み
sudo nginx -t
sudo systemctl reload nginx

1
2
3
4
5
6
7
8
9

# /etc/apache2/sites-available/example.com.conf
<VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
</VirtualHost>

1
2
3

# Apache を再読み込み
sudo apachectl configtest
sudo systemctl reload apache2

1
2
3
4
5
6
7
8

# 証明書チェーンを確認
openssl s_client -connect example.com:443 -showcerts

# チェーンの検証
openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt fullchain.pem

# 中間証明書が含まれているか確認
openssl crl2pkcs7 -nocrl -certfile fullchain.pem | openssl pkcs7 -print_certs -noout

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# 現在時刻を確認
date
timedatectl

# NTP で時刻を同期
sudo timedatectl set-ntp true

# ntpd を使用
sudo ntpdate pool.ntp.org

# chrony を使用
sudo systemctl restart chronyd

1
2
3
4
5
6
7
8

# ACM の証明書を確認
aws acm list-certificates --region us-east-1

# 証明書の詳細
aws acm describe-certificate --certificate-arn arn:aws:acm:...

# ACM の証明書は自動更新される
# 更新が失敗した場合はメール通知を確認

1
2
3
4
5
6

# curl で証明書検証をスキップ（開発用）
curl -k https://example.com

# Python で証明書検証をスキップ（開発用）
import ssl
ssl._create_default_https_context = ssl._create_unverified_context

1
2
3

# requests で証明書検証をスキップ
import requests
response = requests.get('https://example.com', verify=False)

1
2

// Node.js で証明書検証をスキップ
process.env.NODE_TLS_REJECT_UNAUTHORIZED = '0';

1
2
3
4
5

# Dockerfile
FROM nginx:alpine

COPY fullchain.pem /etc/nginx/ssl/fullchain.pem
COPY privkey.pem /etc/nginx/ssl/privkey.pem

1
2
3
4
5
6
7

# docker-compose.yml
services:
  web:
    image: nginx
    volumes:
      - ./certs:/etc/nginx/ssl:ro
      - ./nginx.conf:/etc/nginx/nginx.conf:ro

1

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

1
2
3
4

# 自己署名証明書を生成
openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout server.key -out server.crt \
    -subj "/CN=localhost"

1
2
3
4
5

# ローカルファイル
openssl x509 -in cert.pem -text -noout

# リモートサーバー
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -text -noout