家のホームサーバーのCronからのメールで、silverfox.noizumi.org のSSL証明書更新に失敗したと来た。
まあ、今、家の回線は光じゃなくて、povo2.0で繋いでるが、asahiネットのIDとパスワードを記載した書類が届いていないので、未だに光回線難民なのである。
動的IPアドレスをDNSに自動登録するスクリプトを組んでるので、silverfox.noizumi.orgをDNSで引くと、povo2.0のゲートウェイのIPアドレスになっている。
携帯電話の通信事業者は、各携帯電話にグローバルIPアドレスでは無く、プライベートアドレスを割り振っていて、インターネットにはゲートウェイサーバーを経由してアクセスし、携帯電話には直接アクセスできないようになっている。
なので、今まで https://silverfox.noizumi.org/ でインターネットからアクセスできていたのができなくなった。
それではSSLの証明書の更新はどうするのか? と言えば、今まで外からWebにアクセスできるのかで存在チェックしていたのを、DNSでチェックする方式が使えるらしい。
1 |
# certbot certonly --manual --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges dns -d silverfox.noizumi.org -m webmaster@noizumi.org --agree-tos --manual-public-ip-logging-ok |
そうすると、次の表示になる。
1 2 3 4 5 6 7 8 9 |
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.silverfox.noizumi.org with the following value: 3jUjp0z7k_1WxZcUOSv-1r5VoBeXU4wSKuoZXBBfnaE Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue |
エックスサーバーにログインして、DNSレコード追加で、次のものを作成。
1 |
_acme-challenge.silverfox.noizumi.org TXT 3jUjp0z7k_1WxZcUOSv-1r5VoBeXU4wSKuoZXBBfnaE |
これで、certbot のPress Enter to Continueでエンターを押すと、DNSをチェックして、SSL証明書を更新してくれる。
あとは、DNSのチャレンジのレコードを削除してもOK。
noizumi.org のDNSを弄れるって事は、silverfox.noizumi.org のドメインの使用者だと分かるので、インターネットから隔絶したサーバーにもSSL証明書が発行できるという事だな。
ひとつ勉強になった 🙂