に投稿に更新サーバ / 障害復旧6分で読む (約867語)

certbotとngixの競合でnginxが勝手に落ちる不具合の解消

概要

・certbotがnginxを殺してた
・設定ミスがありcertbotが更新にコケていた
・crontabを使用していたが、更新用のdaemonが裏で動いていて、予期せぬ時刻に障害が発生した

目次

事の発端

ある日、自宅のサーバで運用しているWebページが落ちていることに気がつき、 その理由を探ったところ、SSLアクセラレータとして使っているnginxのサービスが停止しているようだった。

落ちてから1時間ぐらいすると生き返ると言う状況から当初はリソース不足かと思い、VMのメモリ割り当てを4GBまで増やして再起動したところ正常に復旧した。

しかし、翌日またnginxが落ちておりヤケクソでvCPUを8コア/メモリ割り当てを64GBにしたが、nginxは落ちてしまった。

原因究明

/var/log/messages/ を見たら速攻で分かった。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Apr 24 10:22:23 *hostname* systemd[1]: Starting This service automatically renews any certbot certificates found...
Apr 24 10:22:24 *hostname* certbot[99744]: Saving debug log to /var/log/letsencrypt/letsencrypt.log
Apr 24 10:22:24 *hostname* certbot[99744]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Apr 24 10:22:24 *hostname* certbot[99744]: Processing /etc/letsencrypt/renewal/*****.conf
Apr 24 10:22:24 *hostname* certbot[99744]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Apr 24 10:22:25 *hostname* certbot[99744]: Certificate not yet due for renewal
Apr 24 10:22:25 *hostname* certbot[99744]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Apr 24 10:22:25 *hostname* certbot[99744]: Processing /etc/letsencrypt/renewal/*****.conf
Apr 24 10:22:25 *hostname* certbot[99744]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Apr 24 10:22:27 *hostname* systemd[1]: Stopping The nginx HTTP and reverse proxy server...
Apr 24 10:22:27 *hostname* systemd[1]: nginx.service: Deactivated successfully.
Apr 24 10:22:27 *hostname* systemd[1]: Stopped The nginx HTTP and reverse proxy server.
Apr 24 10:22:27 *hostname* systemd[1]: nginx.service: Consumed 26.757s CPU time.
Apr 24 10:22:27 *hostname* certbot[99744]: Renewing an existing certificate for *****

certbotが証明書を更新する際にnginxが落とされていた。
しかも悪いことに証明書の更新にコケて固まっていた模様。(しばらくするとタイムアウトになってnginxが甦生される)

証明書の更新にコケた理由

certbotが延々と遅延していた理由としては、firewalldの設定が間違っていて80番ポートが塞がっていたのでACMEチャレンジで延々と待たされていただけのようであった。

予期せぬタイミングで動作したcertbot

自分の場合、certbotは毎月1日の午前3時に動かすようcrontabを組んでいたが何故か4/24にも障害が発生。
こちらも気になったので調査してみた。

その結果、certbot-renew.timerというサービスが存在している事が判明。

対策

firewalldの設定変更

以下のコマンドで80番を穴開け

1
2
sudo firewall-cmd --permanent --zone=dmz --add-service=http
sudo firewall-cmd --reload

crontabからcertbot-renew.timerへの切り替え

今回は何故かcrontabの方にしか設定していないpre-hookpost-hookが動いていたようだが、この際なのできちんと設定を行っておく

/etc/sysconfig/certbot ファイルをお好みのエディタで開いてPRE_HOOKPOST_HOOKの行を以下の通り書き換えればOK

1
2
PRE_HOOK="--pre-hook 'systemctl stop nginx'"
POST_HOOK="--post-hook 'systemctl restart nginx'"

最後にcertbot-renew.timerを再起動しておく

1
systemctl restart certbot-renew.timer

参考文献

【簡単】Let’s Encryptの自動更新をcronなしで実現しよう | TACK-WEB

certbotとngixの競合でnginxが勝手に落ちる不具合の解消

https://lunatic.red/2024/04/25/certbotとngixの競合でnginxが勝手に落ちる不具合の解消/

Author

fuchse-ohren

Posted on

2024-04-25

Updated on

2026-03-11

Licensed under

#

コメント

フォローする

カテゴリ

最近の記事

アーカイブ

タグ

セキュリティ5
サーバ4
Windows4
nginx3
広告ブロック2
RHEL2
Linux2
ネットワーク2
Yubikey2
Podman1
Invidious1
YouTube1
PostgreSQL1
Kubernetes1
コンテナ1
JA31
JA41
TLS指紋1
TLSフィンガープリント1
DDoS対策1
マルウェア検知1
Bot検知1
TLSハンドシェイク1
ネットワーク監視1
DNS1
DoT1
Android1
プライベートDNS1
グループポリシー1
バックアップ1
復元1
PowerShell1
設定管理1
LGPO.exe1
LibreOffice1
PDF1
PDF/A1
変換1
Python1
WSL1
OracleLinux1
パケット解析1
nfstream1
OpenSSL1
証明書1
クライアント証明書1
楕円曲線暗号1
ECC1
PKI1
Windows111
パスキー1
Bluetooth1
認証1
Ethereum1
ブロックチェーン1
PoS1
プライベートネットワーク1
Docker1
Web31
イーサリアム1
SSH1
公開鍵認証1
Proxmox1
SSL/TLS1
Let's Encrypt1
certbot1
自動更新1
firewalld1
systemd1
トラブルシューティング1
設定ミス1
競合1
Chromium1
DRM1
Widevine1
動画配信1
設定1
wireguard1
vpn1
ipv61
チュートリアル1
linux1
oci1
ネットワーク設定1
POPOPO1
メタバース1
プライバシー1
中国クラウド1
Tencent TRTC1
著作権1
著作者人格権1
VRChat1
SNS1
リスク分析1
通話アプリ1
データ保護1
×