On 06.07.2022 22:00, Maxim Dounin wrote:
Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было"). Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
Dehydrated и необходимые дополнения в конфиг прописывать руками.
certbot так криво себя ведет только в дефолтовой конфигурации.
Этого достаточно, чтобы им не пользоваться. И уж тем более не
рекомендовать другим, ибо они с вероятностью, близкой к 100%,
будут использовать его именно в конфигурации по умолчанию.
Максим, я ошибся.
В дефолтовой конфигурации он себя ведет несколько иначе.
При установке пакета certbot и в RHEL-дистрибутивах и в Ubuntu
плагины для модификации конфигов nginx и apache не устанавливаются.
Если кто-то хочет их использовать - они устанавливаются отдельно,
с помощью пакетов python3-certbot-nginx и python3-certbot-apache
И даже в том случае, если эти плагины установлены - они по умолчанию,
насколько я понимаю, не активируются - необходимо в командной строке
задать соответствующий параметр активации плагина: --nginx или --apache
Cлучайно испортить с certbot конфиг nginx или apache не получится -
каждый пользователь делает это вполне осознанно и целенаправленно,
вручную устанавливая на сервер и активируя соответствующий плагин.
Я могу рекомендовать Dehydrated, он сделан хорошо и просто
работает. И не могу рекомендовать Certbot, там проблема дизайна:
конфиг сервера нельзя менять, не понимая всех аспектов работы
этого конфига (и тем более нельзя менять в фоне и не говоря об
этом пользователю), а авторы Certbot'а этого явного не понимают.
Проблема дизайна, о которой Вы говорите, есть только у двух плагинов:
nginx и apache. Остальные плагины (standalone, manual, webroot, dns-*)
работают очень даже хорошо, и к ним ведь у Вас нет никаких претензий?
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org
