2026 レンタル Mac Mini 七×二十四意思決定マトリクス:certbot 証明書自動更新、launchd 健康探査と夜間サイレンス窓パラメータ一覧
独立開発者がレンタル Mac Miniで七×二十四のゲートウェイ・逆プロキシ・監視を回すと、certbot 更新のカレンダーずれや深夜二時の誤再読込で HTTPS が切れることがあります。
本稿は Apple Silicon レンタル向けにチャレンジ方式・launchd・健康探査・UTC サイレンス窓の意思決定マトリクスを凍結します。実行可能な plist/crontab 断片・六手順・引用数値。ホーム, launchd と PM2 比較・APFS 水位 FAQへ誘導します。
七×二十四 レンタル Mac Mini で TLS 更新が破綻しやすい理由
- チャレンジずれ。 ポート八十閉鎖で HTTP-01 が失敗し、DNS-01 の API キーがシェル履歴のみだと失効します。
- 再読込範囲。 素朴な
renew-hookが nginx ではなく全サービス(OpenClaw ゲートウェイ含む)を再起動します。 - 監視の盲点。 プロセス稼働のみ見て
notAfterを見ないと、証明書期限切れでも監視は緑のままです。
HTTP-01/DNS-01: which certbot challenge fits your rental?
ホスト名ごとに主方式を一つに固定します。ワイルドカードは DNS-01 必須です。単一ホスト逆プロキシはポート八十・四四三が到達可能なら HTTP-01 が多いです。
- HTTP-01: ポート八十到達時に nginx が
/.well-known/acme-challenge/を配信します。 - DNS-01: ワイルドカードや八十閉鎖時はプラグイン認証。API トークンは Keychain に保存します。
certbot certonly --staging --nginx -d gateway.example.dev
# production after dry-run:
certbot certonly --nginx -d gateway.example.dev --deploy-hook /usr/local/bin/reload-proxy.sh七×二十四 certbot/launchd 意思決定マトリクス
パラメータを git で凍結し、M4 七×二十四 ホスティングの単一ボリューム運用に耐えます。
| 制御項目 | 初期値 | 補足 |
|---|---|---|
| チャレンジ | HTTP-01 または DNS-01(主一つ) | ワイルドカードは DNS-01。開放ポートを runbook に記載。 |
| 更新時刻 | 毎日 03:17・15:17(ローカル) | バックアップ・夜間バッチとずらす。 |
| 健康探査間隔 | 60秒 curl+残日数閘口 | サイレンス外で残十四日未満はページ。 |
| UTC サイレンス | 22:00–06:00+30分 | 更新ノイズ Webhook 抑制。P1 は貫通。 |
| スケジューラ | launchd LaunchAgent | 検証は crontab 可。下記断片参照。 |
| renew-hook 範囲 | プロキシ再読込のみ | 証明書差替で OpenClaw 再起動禁止。 |
launchd タイマー・renew-hook・crontab 代替
レンタルでは launchd の StartCalendarInterval を推奨します。ログパスが固定され再起動後も復帰します。renew-hook で nginx -t 後に再読込します。
# ~/Library/LaunchAgents/com.runmini.certbot-renew.plist (excerpt)
ProgramArguments: certbot renew --quiet --deploy-hook /usr/local/bin/reload-proxy.sh
StartCalendarInterval: 03:17 and 15:17 daily
StandardOutPath: /var/log/certbot-renew.log
# renew-hook — proxy only; do not restart OpenClaw gateway
nginx -t && kill -HUP "$(cat /usr/local/var/run/nginx.pid)"
# crontab lab fallback:
# 17 3,15 * * * certbot renew -q --deploy-hook /usr/local/bin/reload-proxy.sh
launchctl bootstrap gui/$(id -u) …/com.runmini.certbot-renew.plist で登録します。Node ゲートウェイ同居時は launchd と PM2 比較を参照してください。
サイレンス窓・健康探査・告警ルーティング
certbot 更新を UTC サイレンス窓内に置き、想定内の再読込ノイズで当番を起こしません。別 LaunchAgent で六十秒の健康探査を回し、真の TLS/上流障害のみ失敗させます。
# tls-health.sh — 60s LaunchAgent
DAYS=$(( ($(date -j -f "%b %d %T %Y %Z" "$(openssl … -enddate|cut -d= -f2)" +%s) - $(date +%s)) / 86400 ))
[ "$DAYS" -lt 14 ] && curl -fsS -X POST "$ALERT_URL" -d "{\"days_left\":$DAYS}"
curl -fsS --max-time 5 https://gateway.example.dev/healthz- 非 P1 Webhook は UTC 22:00–06:00 と更新後三十分分を抑制します。
days_left < 7は即ページ。十四日超は警告のみ。
ディスクとログ水位 on APFS rentals
Align with our APFS waterline FAQ before unattended renew.
- 空き黄十五・赤十パーセント。黄で更新一時停止、赤で certbot 停止とページ。
certbot-renew.logを newsyslog で 128MB×7日に制限します。
レンタルで七×二十四 TLS を載せる六手順
- ホスト確保。 ホームから導線を確認し、公開購入・ヘルプで SSH と
df -h基線を記録します。 - staging 発行。 選定チャレンジで
certbot certonly --stagingを成功させます。 - launchd 登録。
com.runmini.certbot-renew.plistとreload-proxy.shを読込み、/var/log/certbot-renew.logを確認します。 - 健康探査。 六十秒 TLS と
/healthz。P1 以外はサイレンス外のみ Webhook。 - 本番昇格。
--stagingを外し runbook にnotAfterを記載します。 - 演習。
certbot renew --dry-runでプロキシのみ再読込と UTC サイレンス中の告警抑制を確認します。
引用: 更新 03:17・15:17/健康探査 60秒/TLS ページ閾値 残十四日・即時七日/サイレンス UTC 22:00–06:00+30分/APFS 黄15%赤10%/ログ 128MB×7日/renew-hook は nginx のみ。
停電復旧 FAQ
certbot 更新で OpenClaw ゲートウェイの夜間バッチは止まるか
renew-hook が nginx/Caddy のみ再読込なら止まりません。OpenClaw はループバックのまま、証明書差替でゲートウェイラベルを再起動しないでください。UTC サイレンス内で更新し、先に certbot renew --dry-run を実行します。
macOS の certbot は launchd か crontab か
七×二十四 ホスティングのレンタルでは launchd LaunchAgent を推奨します。再起動後も復帰しログが固定されます。crontab は検証用に同じ --deploy-hook を共有してください。
停電後に最初に確認することは
launchctl print gui/$(id -u)/com.runmini.certbot-renew、certbot certificates、APFS FAQの黄閾値以上、外向き告警の再有効化の順です。
七×二十四 TLS と健康探査のため Mac Mini をレンタル
RunMiniのApple Siliconノードで無人certbot 更新を載せます。料金・公開購入(ログイン不要)・SSH/VNC ヘルプ。
まとめ: レンタル Mac Miniで七×二十四 TLS を載せる前に、チャレンジ・launchd・renew-hook・六十秒健康探査・UTC サイレンスを凍結してください。初回 dry-run が当番を起こさなければ ホームへ戻れます。