Комментарии 16
Круто. Молодцы. Только incron лишний. Letsencrypt разрешает использование hook-ов не только для подтверждения владения доменом, но и для раскладывания сертификатов.
Возможно я не понял мысль, но нам нужно выполнить хук не на сервере Letsencrypt, а на серверах где обновились сертификаты
Так у вас же есть доступ к .well-known на серверах. Почему не сделать также доступ на закидывание сертификатов и рестарт nginx-а? После этого в крон на сервере с letsencrypt добавить все одну команду
certbot renew
и забыть вообще про сертификаты.
certbot renew
и забыть вообще про сертификаты.
Извините, яснее ваша идея для меня не стала(
Раскладывать с letsencrypt сертификаты на сервера и рестартить nginx? Для этого потребуется больше приседаний с созданием ключа и правами для пользователя
Почему не сделать также доступ на закидывание сертификатов и рестарт nginx-а?
Раскладывать с letsencrypt сертификаты на сервера и рестартить nginx? Для этого потребуется больше приседаний с созданием ключа и правами для пользователя
Прошу прощения. Надо было сразу описать что я имею ввиду.
Я имел ввиду как раз то, что вы и описали. Раскидать ssh ключ и конфиг для sudo с помощью ansible попутно с другим настройками, а для letsencrypt сделать 3 хука — acme-http-auth, acme-http-auth-clean, cert-deploy. Учитывая то, что папкой .well-known на серверах вы пользуетесь удаленно, то предполагал что и ключик уже раскидан. При первоначальной настройке конечно больше шагов, которые сделает за нас ansible =). Зато потом меньше точек отказа на целый incron.
По вашему сообщению я понял, что вы как раз избегали суеты с ключом и конфигами в пользу incron. Вопросов больше не имею =). А претензий тем более =).
Я имел ввиду как раз то, что вы и описали. Раскидать ssh ключ и конфиг для sudo с помощью ansible попутно с другим настройками, а для letsencrypt сделать 3 хука — acme-http-auth, acme-http-auth-clean, cert-deploy. Учитывая то, что папкой .well-known на серверах вы пользуетесь удаленно, то предполагал что и ключик уже раскидан. При первоначальной настройке конечно больше шагов, которые сделает за нас ansible =). Зато потом меньше точек отказа на целый incron.
По вашему сообщению я понял, что вы как раз избегали суеты с ключом и конфигами в пользу incron. Вопросов больше не имею =). А претензий тем более =).
Для получения wildcard сертификата
Погодите, а их выпуск ведь блокировали из-за каких-то проблем. Или я что-то пропустил?
Не слышал такого… новость о wildcard
Годик назад сделал такое на баше, кроне и dehydrated (который тоже на баше), ну и на одной табличке с мускуля, для более удобного управления. Нужно было юзать https для вебморд, однотипных серверов клиентов, домены третьего уровня. На вилдкард чето зажопился)
Работает.
Как по мне так несколько страшновато доверять скриптам такие дела и один фиг надо будет проверить все ли нормально прошло, почитать логи. Не проще ли сделать тотально страшную напоминалку нужным людям заранее, за пару недель скажем?
Такто то понадеетесь на автоматику а чтонибудь да не отработает и проверить выполнение всем будет некогда и т.д.
Такто то понадеетесь на автоматику а чтонибудь да не отработает и проверить выполнение всем будет некогда и т.д.
Добрый день!
А как обстоят дела с обновлением wildcard сертификатов? certbot renew сам поймёт, что нужно обратиться к DNS или ему надо это где-то указать?
В мануалах не нашел информации.
А как обстоят дела с обновлением wildcard сертификатов? certbot renew сам поймёт, что нужно обратиться к DNS или ему надо это где-то указать?
В мануалах не нашел информации.
certbot всю нужную информацию сохранил в /etc/letsencrypt/renewal/you_domain.conf и сам обновит сертификат без проблем
Время показало, что я был не прав(
Certbot не сможет обновится без использования плагинов для DNS сервисов (e.g. dnsimple)
А если у вас DNS не на таких сервисах, то остается только или обновлять руками или писать свой плагин…
Certbot не сможет обновится без использования плагинов для DNS сервисов (e.g. dnsimple)
А если у вас DNS не на таких сервисах, то остается только или обновлять руками или писать свой плагин…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Централизованное обновление сертификатов Let's Encrypt