On 05.07.2022 15:55, Maxim Dounin wrote:
Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было"). Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
Dehydrated и необходимые дополнения в конфиг прописывать руками.
certbot так криво себя ведет только в дефолтовой конфигурации.
Если настроить его соответствующим образом:
# cat /etc/letsencrypt/cli.ini
key-type = ecdsa
elliptic-curve = secp256r1
authenticator = webroot
webroot-path = /opt/letsencrypt
agree-tos = True
reuse-key = False
no-eff-email = True
и прописать в default.conf
server {
listen 80 bind default_server;
server_name default-server;
location / {
return 444;
}
location /.well-known/acme-challenge { default_type text/plain;
root /opt/letsencrypt; }
}
тогда получить сертификат для нового (даже еще не прописанного в
конфигурации nginx) сервера можно одной командой:
certbot certonly -d example.com -d www.example.com
разумеется, потом для этого нового сервера тоже нужно будет прописать
аналогичный location /.well-known/acme-challenge { ... } на 80 порту.
в таком случае - certbot не будет пытаться модифицировать конфиги nginx.
а то что он криво работает в дефолтовой конфигурации - это ничего не
значит, в дефолтовой конфигурации и nginx работает не самым лучшим
образом (мягко говоря).
certbot - это хорошая утилита, продуманная, и качественно сделанная.
dehydrated - это скрипт на bash со всеми вытекающими отсюда проблемами:
https://github.com/dehydrated-io/dehydrated/commits/master/dehydrated
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org
