letsencryptの証明書を大掃除

過去5年にわたり、気軽にletsencryptで証明書を発行しすぎてとっ散らかってしまっているのできれいに整理整頓したい。

ACMEチャレンジには言わずと知れた certbot を利用します。rootです。

証明書の現状確認

証明書が発行されている状態を確認する。

# ./certbot-auto certificates

証明書を失効させる

.pem単位で失効させるので、紐づいて発行しているサブドメインがあれば当然まとめて失効されてしまう。

./certbot-auto revoke --cert-path=/some/path/live/example.com/fullchain.pem

実行すると、証明書の実体ファイル群も一緒に消すかを聞かれるので、Yと応えれば一緒に消してくれる。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you like to delete the cert(s) you just revoked, along with all earlier
and later versions of the cert?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es (recommended)/(N)o: Y

/some/path/*/example.com が削除されていることを確認する。

ちなみに、証明書を失効させてもたいていのWebサーバミドルウェア(nginxなど)は証明書をキャッシュしているので、リスタートして反映する。

Webサーバミドルウェア(nginxなど)の設定に証明書のパスなどが残っているとエラーになるので反映前に確認するべし。