SSL証明書の作成と更新

関連ページ
参考URL
毎回忘れてとても面倒なのでメモ書き。
Let's Encryptという組織を利用して無料の証明書を作ります。
この証明書は90日間しか有効期間がないですが、勝手に自動更新してくれます。 前準備として、SSL証明書を作りたいサイトがポート80接続でつながっている事が前提になります。
Tomcatのデフォルトポートは8080なため、80から繋げるには以下のいずれかの実装が必要です。
恐らくリバースプロキシがベストですが、もっとも簡単なのはを使う方法です。
以下のコードを打ち込みます。
natの設定変更はTomcatを再起動する必要があるので以下のコードを実行します。 証明書を取得するためのツールクライアントをインストールします。（すでに持ってるなら必要ないです） 以下のコマンドを使って証明書を取得し、ポート80接続が有効になっている必要があります。 このコマンドを打ち込むといくつか質問が発生します。
最初はEmailを聞かれるので適当なものを打ち込みます。
その次に利用規約を聞かれますが、よく分からないのでとりあえずを選択します。
その次にデジタル情報を共有するかなんとか聞かれるますが、よく分からないのでを選択します。
と表示されれば成功。
メッセージ中に記載の通り のディレクトリに証明書が取得されているはずです。 ディレクトリに移動する必要があります。
ただフォルダは権限が厳重で、普通に移動しようとするとはじかれます。
なので chmod を使って権限を解放します。 作業が終わり次第、心配であれば権限を閉じても良いです。 に移動すると、そこには既に５つのファイルがあるはずです。
まずをに変換します。ここではとして出力。 この際に２回パスワードが聞かれますが、適当なものを連打しておきます。 ここからを使ってを作成します。
なんでも良いですがここではとしておきます。
を作る際にはパスワードが３回聞かれるが適当なものを連打しておきます。
なおここで設定したパスワードは後ほどTomcatので使用します。 この作成したをtomcatのファイルに移動させます。 ディレクトリにあるをいじります。まずはhttp接続を無効化します。
以下のようにコードをとで囲みます。 以下のコードを打ち込んでhttpsを有効にしてと紐づけます。
https接続のデフォルトのポート予約値は443なので、何かしらの方法で443から8080に繋げる必要があります。
ここではまたnatを使ってポート変換します。 Tomcatを再起動して完了。 SSL証明書は、期限切れ1ヵ月前から下のコマンドでマニュアル更新ができます。 期限切れ1か月前に上のコードを実行すると、（まだ更新する必要がない）という表示が出て、実際は更新しません。
ただ、わざわざマニュアルで打ち込まなくても、cerbotは毎日このコマンドを自動で実行してくれます。
試しに下のコマンドを打ち込むと、が設定されているのが確認できる。
に書いてあるのが次回実行予定の日時で、ここでは2024-12-18 12:46:18に更新予定が入っています。 この自動更新設定は、ubuntuだとに記述されてあります。
中身は下の通りで、 cron のコードを使っています。

期限切れ1ヵ月前にrenewを実行しても実際は証明書は実行されませんが、のオプションを付ける事で強制更新できます。

基本的には使うことはないと思います。renewal-hooksのテストで使うことはあるかもしれない。 Let's EncryptのSSL証明書更新処理はこれで終わり。
ただ証明書は自動で更新されるとしても、その都度毎回keystore.jksファイルも同時に更新する必要があります。
keystoreの自動更新方法は こちらのページ で紹介。