期限日の30日前から更新できる。
しかし、期限日の20日前には expiry notice メールが送られてきて無駄にせかされるので、できればこの10日間に更新させる必要がある。
更新可能期間前に走らせた `certbot renew` は自動でスキップされるので、週一または数日に1回 cron で回しておけばいいだろう。
23 14 * * 5 root LANG=C LC_ALL=C certbot renew
時間と曜日はてきとう。
`/etc/letsencrypt/renewal-hooks/deploy/` にシェルスクリプトを置いておけば、証明書の更新が終わったタイミングでこれを走らせてくれる。
httpd のリロードを自動で行う例:
#!/bin/bash systemctl reload httpd