Let’s encrypt 에서 API (ACMEv1) 을 종료할 계획을 발표 했다.
오늘 관련 메일을 수신 받았고 내용을 확인해 봤을때 아래와 같다.
2019년 11월 – 신규 어카운트 사용 불가 (기 등록 계정[메일주소]은 사용 가능)
2020년 6월 – 신규 도메인 발급 불가 (기존 도메인 renew 만 가능)
2021년 초 – 지원 종료 (사용 불가)
https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430
간단히 말해서 ACMEv2 주소를 ACMEv1 대신 사용하면 된다.
ACMEv2 의 경우 2018년 3월에 공개가 되었으며 STAR(*) 인증서 발급을 지원한다.
기본적으로 certbot 의 경우 실행시 자동으로 업데이트를 한다. (renew 에서도)
그러므로 API 주소만 단순히 ACMEv2 을 사용하면 동일 하게 사용할 수 있다.
( https://acme-v01.api.letsencrypt.org/directory –> https://acme-v02.api.letsencrypt.org/directory )
1 2 3 4 |
~]# cd /usr/local/certbot ~]# certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory \ --rsa-key-size 4096 --agree-tos --email [메일@도메인.com] \ --webroot -w [웹경로] -d [www.enteroa.com] -d [enteroa.com] |
인증서 만료일은 아래와 같이 certbot-auto 명령어와 openssl 명령어로 확인할 수 있다.
1 2 3 4 5 6 7 8 9 |
~]# /usr/local/certbot/certbot-auto certificates Found the following certs: Certificate Name: www.enteroa.com Domains: www.enteroa.com enteroa.com Expiry Date: 2020-04-15 04:00:06+00:00 (VALID: 77 days) Certificate Path: /etc/letsencrypt/live/www.enteroa.com/fullchain.pem Private Key Path: /etc/letsencrypt/live/www.enteroa.com/privkey.pem ~]# openssl x509 -noout -text -in /etc/letsencrypt/live/www.enteroa.com/fullchain.pem | head -15 |
테스트 결과 renrwal 폴더 안의 conf 파일의 기존 ACMEv1 주소를 ACMEv2 으로 변경하면 정상적으로 갱신이 가능하다.
1 |
~]# sed -i 's=https://acme-v01.api=https://acme-v02.api=g' /etc/letsencrypt/renewal/*.conf |
아울러서 v2 의 경우 다중의 end point 를 통해 http 인증을 진행 한다. 기존에 1개의 아이피 에서 인증을 진행했지만 8 곳 에서 http 인증을 진행하는것으로 확인 되었다 ‘ㅅ’a
물론 이 end point 의 경우 유동 적일 수 있다.
인증서 취소 & 인증서 삭제
1 2 3 |
~]# /usr/local/certbot/certbot-auto revoke --cert-path /etc/letsencrypt/renewal/www.enteroa.com.conf ~]# /usr/local/certbot/certbot-auto delete --cert-path /etc/letsencrypt/renewal/www.enteroa.com.conf |
conf 파일에 해당 내용이 없던데,
혹시 어떻게 설정하셨는지 알 수 있을까요?
아래 처럼 되어 있습니다.
# renew_before_expiry = 30 days
version = 1.3.0
archive_dir = /etc/letsencrypt/archive/www.enteroa.com
cert = /etc/letsencrypt/live/www.enteroa.com/cert.pem
privkey = /etc/letsencrypt/live/www.enteroa.com/privkey.pem
chain = /etc/letsencrypt/live/www.enteroa.com/chain.pem
fullchain = /etc/letsencrypt/live/www.enteroa.com/fullchain.pem
# Options used in the renewal process
[renewalparams]
account = abcdefghijklmnopqrstuvwxtzabcdef
server = https://acme-v02.api.letsencrypt.org/directory
authenticator = webroot
rsa_key_size = 4096
webroot_path = /var/www/html,
[[webroot_map]]
http://www.enteroa.com = /var/www/html