Comments 15
Но можно еще проще. Не нужно поднимать сервер на 9999 порту, достаточно указать letsencrypt'у, в какой папке будет лежать файл. Конфиг nginx:
location /.well-known/acme-challenge {
root /var/www/letsencrypt/;
}
Генерация сертфиката:
./letsencrypt-auto certonly --webroot -w /var/www/letsencrypt -d domain.com
location /.well-known/acme-challenge {
root /var/www/letsencrypt/;
}
Генерация сертфиката:
./letsencrypt-auto certonly --webroot -w /var/www/letsencrypt -d domain.com
+10
Тоже неплохой вариант. Вообще, под nginx есть уже и плагин, только на сайте он числится как глубоко экспериментальный. Думаю, что через год запрос сертификата будет действительно намного проще чем сейчас.
0
Так можно делать даже без правки конфига, если указать папку самого сайта, а не отдельную для letsencrypt.
+3
Только упустили, что получать надо сертификат не у let's encrypt, а у wosign. Провайдер один и тот же, зато на два года, а не на год.
-9
LE выдает сертификат на 90 дней. Автопродление рекомендуют каждые 60 дней.
0
Вы предлагаете заменить открытое, автоматизированное, правильное решение на проприетарщину без плюсов, а только с минусами? Интересный подход. Наверно те кто привык к такой «халяве» еще долго будут ломать копья и бегать за скидками =(
+3
Ну если вы готовы нести в продакшн автоматизированное обновление сертификатов, которое находится в бета версии, и рисковать раз в два месяца — флаг вам в руки.
И считать let's encrypt более открытым, чем его создателей — это просто смешно. Вы так можете считать любое решение на основе API с github открытым. Или вы считаете, что кусок кода с гитхаба вам позволяет как-то отвязаться от центра сертификации?
И считать let's encrypt более открытым, чем его создателей — это просто смешно. Вы так можете считать любое решение на основе API с github открытым. Или вы считаете, что кусок кода с гитхаба вам позволяет как-то отвязаться от центра сертификации?
-4
Отдельный привет минусующим, которые видимо не знают, как работают SSL сертификаты и их получение. Жалко, конечно, что такой уровень аудитории.
-4
> которое находится в бета версии,
Сегодня в бете, завтра нет. На некритичных ресурсах попробовал. Полгода — полет нормальный.
> И считать let's encrypt более открытым, чем его создателей
Это вы уже сами что-то выдумали. Я вижу открытый клиент. Я вижу людей, которые делают опенсорс и их стремление в правильном направлении. Я прекрасно понимаю что private key нельзя выкладывать в опенсорс ;) Что еще надо?
А вы предлагаете в качестве альтернативы закоренелых продавцов ̶в̶о̶з̶д̶у̶х̶а̶ записей в БД. Снизошедших до простых смертных.
Сегодня в бете, завтра нет. На некритичных ресурсах попробовал. Полгода — полет нормальный.
> И считать let's encrypt более открытым, чем его создателей
Это вы уже сами что-то выдумали. Я вижу открытый клиент. Я вижу людей, которые делают опенсорс и их стремление в правильном направлении. Я прекрасно понимаю что private key нельзя выкладывать в опенсорс ;) Что еще надо?
А вы предлагаете в качестве альтернативы закоренелых продавцов ̶в̶о̶з̶д̶у̶х̶а̶ записей в БД. Снизошедших до простых смертных.
+2
Кому любопытно — вывод команды обновления что-то типа:
+ Поправил в статье немного строчку запуска обновления.
./letsencrypt-auto renew
Checking for new version...
Upgrading letsencrypt-auto 0.4.2 to 0.6.0...
Replacing letsencrypt-auto...
cp -p ./letsencrypt-auto /tmp/tmp.JJSUcoV9xI/letsencrypt-auto.permission-clone
cp /tmp/tmp.JJSUcoV9xI/letsencrypt-auto /tmp/tmp.JJSUcoV9xI/letsencrypt-auto.permission-clone
mv -f /tmp/tmp.JJSUcoV9xI/letsencrypt-auto.permission-clone ./letsencrypt-auto
Creating virtual environment...
Installing Python packages...
Installation succeeded.
Requesting root privileges to run certbot...
/root/.local/share/letsencrypt/bin/letsencrypt renew
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/mydomain.tld.conf
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/mydomain.tld/fullchain.pem
-------------------------------------------------------------------------------
Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/mydomain.tld/fullchain.pem (success)
+ Поправил в статье немного строчку запуска обновления.
0
Sign up to leave a comment.
Yet another инструкция по получению ssl-сертификата Let's Encrypt