Это не старомодно, это у вас привычки из винды. И какой же интерпретатор используется, если .sh? dash? bash? sh? kcsh? tcsh? zsh? Интерпретатор нужно указывать в начале скрипта и оно прекрасно будет запускаться, а ваше «расширение» ничего не делает и ничего не дает.
Вас обманули. В системах на базе ядра Linux системные файлы нужны, что бы все нормально работало, именно по этой причине GNU/Linux лидирует на серверном рынке(а в TOP500 просто занимает 99.9% мест). А детишкам, которые руками лезут туда, куда писать должен пакетный менеджер место на своих локалхостах. Мамкиным какирам мамкино какерство!
Делать симлинки в /bin это по плохому. Правильно, как вам уже выше написали #!/usr/bin/env bash, аналогично и #!/usr/bin/env python, #!/usr/bin/env perl и так далее.
https://letsencrypt.org/sponsors/
Смотрели, не?
Посмотрите. Поищите знакомые буквы.
LE — некоммерческая организация за которой стоят столпы IT всего мира. WoSign были китайскими мошенниками выдававшими сертификаты на чужие домены кому попало.
Ну это таки самый правильный вариант. Есть официальные репозитории, в которых всегда свежие версии пакетов, при этом для всех живых веток дистрибутивов. Вот их и надо использовать.
1.9.10? Беда какая. mainline старый.
nginx надо ставить из родных репозиториев.
For Debian replace codename with Debian distribution codename, and append the following to the end of the
/etc/apt/sources.list file:
deb http://nginx.org/packages/debian/ codename nginx
deb-src http://nginx.org/packages/debian/ codename nginx
For Ubuntu replace codename with Ubuntu distribution codename, and append the following to the end of the /etc/apt/sources.list file:
deb http://nginx.org/packages/ubuntu/ codename nginx
deb-src http://nginx.org/packages/ubuntu/ codename nginx
При этом лучше брать таки mainline, это — официальный совет из доков на самом nginx.org. А брать старый mainline из которого уже вышел stable — дурная идея.
Блин, а почему у меня при RR DNS все хорошо? Может потому, что я не сношаю мозг, а получаю сертификат на одной машине, а потом скриптом копирую на другие?
А скандал только в голове идиотов. Они выдают сертификаты владельцу домена. Они не должны проверять что там в домене, не их это дело.
Всегда так было. После логротейта спокойно берет свежие сертификаты, я вообще не думаю о рестартах.
А так, у того же acmetool есть пре и постхуки, если хотите автоматизировать именно рестарт. Потом он висит в кроне, обновляет и хуки запускает.
Все без рестартов работает.
Да и вы зря рестартуете nginx, достаточно делать reload.
А, вообще, все прекрасно работает по схеме acmetool(ну или еще кто получающий и обновляющий сертификаты) обновляет по крону, а nginx все равно получает HUP при logrotate и подхватывает новый сертификат. Так как сертификат обновляется задолго до дня X все проходит прекрасно на автомате и без ручных релоадов.
Спасибо, файл достаточно старый и просто дополнялся и менялся, а ssl on; как висел, так и висит. Надо посмотреть, скорее всего http2 в listen решает это дело сейчас, тогда просто уберу.
Настройки оптимальны, ибо даже из под XP с последними для него Хромом и Файрфоксом все работает. Если еще чуть-чуть попробовать закрутить, то ломается XP, а у меня у одного из клиентов много посетителей из под XP, пришлось из-за них гайки слегка развинчивать.
A+, все прекрасно, но XP на сайты попадают.
Ну тут все просто. Либо генерируйте сертификаты для каждого домена, что делается элементарно, либо покупайте, если вам нужно то, что стоит денег.
Ну и байки про лимит они смешные. Есть лимит на 20 в неделю и 100 в одном сертификате, то есть вы можете выпускать в неделю сертификаты для 2000 доменов, я сильно сомневаюсь, что что-то нормальное требует у вас больше. Не, если вы делаете фишинговые сайты и косите под PayPal, тогда они у вас живут 2-3 дня и вы можете упереться в лимиты, а в противном случае это практически нереально.
StartCom/WoSign были пойманы на мошенничестве с сертификатами и правильно мошенников выкинули из доверенных, я у себя на компах их заблокировал раньше. Вы страдаете от того, что Google сказал «Нельзя доверять мошенникам», вы хотите, что бы люди доверяли мошенникам. У меня закрадываются подозрения в отношении ваших сайтов.
Я вам указал готовое решение для openresty, которое выпускает сертификаты, при первом обращении к домену. То что вы используете какую-то маргинальщину, как веб-сервер — ваши проблемы. Ну и для «бызнеса» который не может купить себе, если они РЕАЛЬНО нужны 8 wildcard у кого угодно есть повод задуматься «А мы вообще все правильно делаем?» и «У нас админ — бездельник получающий деньги ни за что». Настроить получение сертификатов автоматом для домена при обращении дело — часа-полутора, вместе с пакетированием openresty под ваш дистрибутив. Пойдите на апворк, найдите человека, заплатите 80-90 баксов за его работу и проблема решена на годы вперед, все будет получаться и обновляться само, в отличии от того же StartCom, сертификаты которого нужно было получать через почту и браузер, отправлять на сервер и так далее. Автоматика настраивается один раз и все.
Если админ чесал яйца полгода и не заменил сертифаты выданные этой шарашкой на нормальные, то лопатой по голове такому админу. Сертификаты от этой шарашки доверенными быть не могут, учитывая, что и как они выдавали.
> Новость печальная, учитывая, что это были самые дешевые wildcard сертификаты.
Печальной была новость, что эти мошенники выпускали сертификаты на популярные домены для левых людей. А то, что их выкинули на мороз — новость прекрасная.
https://github.com/GUI/lua-resty-auto-ssl
Вот вам готовый вариант для OpenResty(с чистым nginx'ом не работает). Можете себе привинтить, как-нибудь. Какое-то время сам использовал, даже OpenResty для него пакетил под Ubuntu 14.04 LTS, потом необходимость отпала.
Смотрели, не?
Посмотрите. Поищите знакомые буквы.
LE — некоммерческая организация за которой стоят столпы IT всего мира. WoSign были китайскими мошенниками выдававшими сертификаты на чужие домены кому попало.
nginx надо ставить из родных репозиториев.
For Debian replace codename with Debian distribution codename, and append the following to the end of the
/etc/apt/sources.list file:
deb http://nginx.org/packages/debian/ codename nginx
deb-src http://nginx.org/packages/debian/ codename nginx
For Ubuntu replace codename with Ubuntu distribution codename, and append the following to the end of the /etc/apt/sources.list file:
deb http://nginx.org/packages/ubuntu/ codename nginx
deb-src http://nginx.org/packages/ubuntu/ codename nginx
При этом лучше брать таки mainline, это — официальный совет из доков на самом nginx.org. А брать старый mainline из которого уже вышел stable — дурная идея.
А скандал только в голове идиотов. Они выдают сертификаты владельцу домена. Они не должны проверять что там в домене, не их это дело.
А так, у того же acmetool есть пре и постхуки, если хотите автоматизировать именно рестарт. Потом он висит в кроне, обновляет и хуки запускает.
Да и вы зря рестартуете nginx, достаточно делать reload.
А, вообще, все прекрасно работает по схеме acmetool(ну или еще кто получающий и обновляющий сертификаты) обновляет по крону, а nginx все равно получает HUP при logrotate и подхватывает новый сертификат. Так как сертификат обновляется задолго до дня X все проходит прекрасно на автомате и без ручных релоадов.
Вот ssl.conf который у меня инклюдится в файлы всех доменов.
Ну и
в конфиге самого домена
https://www.ssllabs.com/ssltest/analyze.html?d=gorky.media
Forward Secrecy Yes (with most browsers) ROBUST (more info)
ALPN Yes
NPN Yes h2 http/1.1
Настройки оптимальны, ибо даже из под XP с последними для него Хромом и Файрфоксом все работает. Если еще чуть-чуть попробовать закрутить, то ломается XP, а у меня у одного из клиентов много посетителей из под XP, пришлось из-за них гайки слегка развинчивать.
A+, все прекрасно, но XP на сайты попадают.
Ну и байки про лимит они смешные. Есть лимит на 20 в неделю и 100 в одном сертификате, то есть вы можете выпускать в неделю сертификаты для 2000 доменов, я сильно сомневаюсь, что что-то нормальное требует у вас больше. Не, если вы делаете фишинговые сайты и косите под PayPal, тогда они у вас живут 2-3 дня и вы можете упереться в лимиты, а в противном случае это практически нереально.
StartCom/WoSign были пойманы на мошенничестве с сертификатами и правильно мошенников выкинули из доверенных, я у себя на компах их заблокировал раньше. Вы страдаете от того, что Google сказал «Нельзя доверять мошенникам», вы хотите, что бы люди доверяли мошенникам. У меня закрадываются подозрения в отношении ваших сайтов.
Печальной была новость, что эти мошенники выпускали сертификаты на популярные домены для левых людей. А то, что их выкинули на мороз — новость прекрасная.
Вот вам готовый вариант для OpenResty(с чистым nginx'ом не работает). Можете себе привинтить, как-нибудь. Какое-то время сам использовал, даже OpenResty для него пакетил под Ubuntu 14.04 LTS, потом необходимость отпала.