Comments 16
Круто. Молодцы. Только incron лишний. Letsencrypt разрешает использование hook-ов не только для подтверждения владения доменом, но и для раскладывания сертификатов.
0
Возможно я не понял мысль, но нам нужно выполнить хук не на сервере Letsencrypt, а на серверах где обновились сертификаты
0
Так у вас же есть доступ к .well-known на серверах. Почему не сделать также доступ на закидывание сертификатов и рестарт nginx-а? После этого в крон на сервере с letsencrypt добавить все одну команду
certbot renew
и забыть вообще про сертификаты.
certbot renew
и забыть вообще про сертификаты.
-1
Извините, яснее ваша идея для меня не стала(
Раскладывать с letsencrypt сертификаты на сервера и рестартить nginx? Для этого потребуется больше приседаний с созданием ключа и правами для пользователя
Почему не сделать также доступ на закидывание сертификатов и рестарт nginx-а?
Раскладывать с letsencrypt сертификаты на сервера и рестартить nginx? Для этого потребуется больше приседаний с созданием ключа и правами для пользователя
+1
Прошу прощения. Надо было сразу описать что я имею ввиду.
Я имел ввиду как раз то, что вы и описали. Раскидать ssh ключ и конфиг для sudo с помощью ansible попутно с другим настройками, а для letsencrypt сделать 3 хука — acme-http-auth, acme-http-auth-clean, cert-deploy. Учитывая то, что папкой .well-known на серверах вы пользуетесь удаленно, то предполагал что и ключик уже раскидан. При первоначальной настройке конечно больше шагов, которые сделает за нас ansible =). Зато потом меньше точек отказа на целый incron.
По вашему сообщению я понял, что вы как раз избегали суеты с ключом и конфигами в пользу incron. Вопросов больше не имею =). А претензий тем более =).
Я имел ввиду как раз то, что вы и описали. Раскидать ssh ключ и конфиг для sudo с помощью ansible попутно с другим настройками, а для letsencrypt сделать 3 хука — acme-http-auth, acme-http-auth-clean, cert-deploy. Учитывая то, что папкой .well-known на серверах вы пользуетесь удаленно, то предполагал что и ключик уже раскидан. При первоначальной настройке конечно больше шагов, которые сделает за нас ansible =). Зато потом меньше точек отказа на целый incron.
По вашему сообщению я понял, что вы как раз избегали суеты с ключом и конфигами в пользу incron. Вопросов больше не имею =). А претензий тем более =).
0
Для получения wildcard сертификата
Погодите, а их выпуск ведь блокировали из-за каких-то проблем. Или я что-то пропустил?
-2
Не слышал такого… новость о wildcard
0
Годик назад сделал такое на баше, кроне и dehydrated (который тоже на баше), ну и на одной табличке с мускуля, для более удобного управления. Нужно было юзать https для вебморд, однотипных серверов клиентов, домены третьего уровня. На вилдкард чето зажопился)
Работает.
0
Как по мне так несколько страшновато доверять скриптам такие дела и один фиг надо будет проверить все ли нормально прошло, почитать логи. Не проще ли сделать тотально страшную напоминалку нужным людям заранее, за пару недель скажем?
Такто то понадеетесь на автоматику а чтонибудь да не отработает и проверить выполнение всем будет некогда и т.д.
Такто то понадеетесь на автоматику а чтонибудь да не отработает и проверить выполнение всем будет некогда и т.д.
0
Добрый день!
А как обстоят дела с обновлением wildcard сертификатов? certbot renew сам поймёт, что нужно обратиться к DNS или ему надо это где-то указать?
В мануалах не нашел информации.
А как обстоят дела с обновлением wildcard сертификатов? certbot renew сам поймёт, что нужно обратиться к DNS или ему надо это где-то указать?
В мануалах не нашел информации.
0
certbot всю нужную информацию сохранил в /etc/letsencrypt/renewal/you_domain.conf и сам обновит сертификат без проблем
0
Время показало, что я был не прав(
Certbot не сможет обновится без использования плагинов для DNS сервисов (e.g. dnsimple)
А если у вас DNS не на таких сервисах, то остается только или обновлять руками или писать свой плагин…
Certbot не сможет обновится без использования плагинов для DNS сервисов (e.g. dnsimple)
А если у вас DNS не на таких сервисах, то остается только или обновлять руками или писать свой плагин…
0
Sign up to leave a comment.
Централизованное обновление сертификатов Let's Encrypt