chromeのバージョン上げたら自己認証局の証明書でエラーがでた


タイトルどおりですが、結果としてlets'encriptにもどしました。
(状況を社内の開発者の方から申告いただきchrome更新したら再現したのでした。)
戻すにあたりちょっとハマりましたので備忘録。

原因はこちら↓

Chrome58で、HTTPSの自己証明書が NET::ERR_CERT_COMMON_NAME_INVALID になる場合の対応
http://tech.torico-corp.com/blog/chrome58-https-ssl-cert-san-error/

自己認証局のままいくなら以下のあたりをみて対応するとよさそう。

http://tech.torico-corp.com/blog/chrome58-https-ssl-cert-san-error/
https://valuessl.net/sslwords/wildcard.html
http://qiita.com/bmf_san/items/a29605fd5743dd263f71

lets'encriptのなににはまったかというと、
・git pullするソース版だとうまいこと動かなかった(git pullで最新にしてもダメ)
・CentOS7用のパッケージいれたらそっちで証明書発行できた

というだけでした。

ちなみにこんなエラーでてました(検索で来る人用に親切心でエラーメッセージを掲載)

# /root/letsencrypt/certbot-auto renew --force-renew 
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/mydomain.com.conf
-------------------------------------------------------------------------------
Attempting to renew cert from /etc/letsencrypt/renewal/mydomain.com.conf produced an unexpected error: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Read timed out. (read timeout=45). Skipping.

epelからインストールできるようになってたリンク
https://letsencrypt.jp/usage/install-certbot.html#CentOS6
https://letsencrypt.jp/docs/using.html
https://wwld.jp/2017/02/22/letsencrypt-cerbtbot-nginx.html

実際の作業内容

# yum install certbot
で、戻すにあたり証明書パスがかわるのでnginxまわりを適宜修正
# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/mydomain.com.conf
-------------------------------------------------------------------------------
Attempting to parse the version 0.14.1 renewal configuration file found at /etc/letsencrypt/renewal/mydomain.com.conf with version 0.12.0 of Certbot. This might not work.
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0004_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0004_csr-certbot.pem

-------------------------------------------------------------------------------
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/mydomain.com/fullchain.pem
-------------------------------------------------------------------------------

Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/mydomain.com/fullchain.pem (success)

cronで動作することも確認できました

# crontab -l
## update sslcert(monthly).
#0 5 1 * * /root/letsencrypt/letsencrypt-auto renew --force-renew && /bin/gitlab-ctl restart
0 5 22 * * /bin/certbot renew --force-renew && /bin/gitlab-ctl restart

あとで失敗したらメール通知かなんかが来るようにしようかと思います。