[certbot] Let's Encrypt 인증서 발급/갱신 명령어

(1) 인증서 발급 받기

certbot certonly -d [도메인 이름]
certbot certonly -d [도메인 이름1] -d [도메인 이름2] ...

  -d를 여러 개 이어 붙여서 여러 도메인을 함께 등록할 수 있다. -d로 가장 먼저 넣은 도메인 이름이 갱신(renewal) 설정 파일의 이름(cert-name)으로 들어간다. ( /etc/letsencrypt/renewal/[도메인 이름].conf )

  위와 같은 명령으로 인증서를 받는다면 필요한 정보를 묻고 답하는 과정을 거칠 것이다. 아래처럼 인증 방식(webroot), 전자우편 주소 등을 미리 지정해서 물음에 따로 답하지 않고 바로 발급 받게 할 수도 있다.

certbot certonly --webroot -w /var/www/challenge -m mail@example-mail.com --rsa-key-size 4096 -d example-abc.com -d www.example-abc.com

(2) 인증서에 도메인 더 넣기

certbot certonly --cert-name [도메인 이름1] -d [도메인 이름1] -d [도메인 이름2] ...

  도메인을 추가해서 인증서를 다시 받으려면, 이미 넣은 도메인 이름과 새로 넣을 도메인 이름을 -d를 붙여서 모두 넣는다.

(3) 발급 받은 인증서 갱신하기

certbot renew

  이미 받은 인증서 가운데 갱신 기간이 닥친 모든 인증서를 갱신한다.

certbot renew --cert-name [도메인 이름]

  특정 도메인만 갱신할 수도 있다.

(4) 강제로 갱신하기

certbot renew --force-renew --cert-name [도메인 이름]

  --force-renew를 붙이면 갱신할 때가 되지 않았어도 강제로 인증서를 갱신할 수 있다.

  certonly를 붙인 아래의 명령어로도 같은 결과를 얻을 수 있지만, 새로 발급 받을 때처럼 묻는 정보에 답해야 할 수 있다.

certbot certonly --force-renew --cert-name [도메인 이름]

  certonly를 붙이고 --cert-name 대신에 -d를 붙이면 인증서가 갱신되지 않고 새로 더하여 발급된다. 먼저 만들어진 인증서의 갱신(renewal) 설정 파일이 exmaple-abc.com.conf였다면, exmaple-abc.com-0001.conf처럼 숫자가 덧붙은 설정 파일과 인증서 파일이 만들어진다. 강제로 발급한 다음에도 이미 받은 인증서는 그대로 남아서 갱신할 때에 함께 갱신된다.

 

(5) 발급하거나 갱신할 수 있는지 알아보기 (시험하기)

  --dry-run을 붙이면 certbot 명령을 실제로 실행하지는 않고 그렇게 할 수 있는지를 알아볼 수 있다.

certbot --dry-run certonly -d [도메인 이름]

  인증서를 발급할 수 있는지를 시험해 볼 수 있다. 발급 방법이나 도메인에 따라 어디에서 왜 막히는지를 알아볼 수 있다.

certbot --dry-run renew
certbot --dry-run renew --cert-name [도메인 이름]

  갱신할 인증서가 있는지와 갱신할 수 있는 상태인지를 알고 싶을 때에도 --dry-run으로 시험해 볼 수 있다.

certbot renew --cert-name ????.com --dry-run
# certbot renew --cert-name ????.com --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/????.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Simulating renewal of an existing certificate for www.????.com and 4 more domains

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded:
  /etc/letsencrypt/live/????.com/fullchain.pem (success)
글 걸기 주소 : 이 글에는 글을 걸 수 없습니다.

덧글을 달아 주세요