Hello! On Wed, Jul 06, 2022 at 11:38:52PM +0300, Gena Makhomed wrote:
> On 06.07.2022 22:00, Maxim Dounin wrote: > > >>>>> Отмечу, что если сертификаты обновлялись с помощью Certbot, то он > >>>>> при обновлении модифицирует конфиги nginx'а (а потом возвращает > >>>>> всё "как было"). Это может заканчиваться, скажем так, неожиданно. > >>>>> Лично я рекомендую для выпуска сертификатов использовать > >>>>> Dehydrated и необходимые дополнения в конфиг прописывать руками. > >> > >>>> certbot так криво себя ведет только в дефолтовой конфигурации. > >> > >>> Этого достаточно, чтобы им не пользоваться. И уж тем более не > >>> рекомендовать другим, ибо они с вероятностью, близкой к 100%, > >>> будут использовать его именно в конфигурации по умолчанию. > > Максим, я ошибся. > В дефолтовой конфигурации он себя ведет несколько иначе. > > При установке пакета certbot и в RHEL-дистрибутивах и в Ubuntu > плагины для модификации конфигов nginx и apache не устанавливаются. > > Если кто-то хочет их использовать - они устанавливаются отдельно, > с помощью пакетов python3-certbot-nginx и python3-certbot-apache > > И даже в том случае, если эти плагины установлены - они по умолчанию, > насколько я понимаю, не активируются - необходимо в командной строке > задать соответствующий параметр активации плагина: --nginx или --apache > > Cлучайно испортить с certbot конфиг nginx или apache не получится - > каждый пользователь делает это вполне осознанно и целенаправленно, > вручную устанавливая на сервер и активируя соответствующий плагин. > > > Я могу рекомендовать Dehydrated, он сделан хорошо и просто > > работает. И не могу рекомендовать Certbot, там проблема дизайна: > > конфиг сервера нельзя менять, не понимая всех аспектов работы > > этого конфига (и тем более нельзя менять в фоне и не говоря об > > этом пользователю), а авторы Certbot'а этого явного не понимают. > > Проблема дизайна, о которой Вы говорите, есть только у двух плагинов: > nginx и apache. Остальные плагины (standalone, manual, webroot, dns-*) > работают очень даже хорошо, и к ним ведь у Вас нет никаких претензий? Документация на сайте предлагает "certbot --apache" в качестве основного варианта использования (например, тут: https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и дальше уже не важно, какие ещё варианты есть: заметный процент пользователей будет делать именно то, что сказали. И получать предсказуемый (точнее, непредсказуемый) результат. И нет, наличие проблемы "авторы считают возможным менять конфиги" в одном из вариантов использования - не означает, что в других вариантах использования проблем нет. Наличие такой проблемы означает, что авторы не понимают проблему, и что там ещё и где разложено или будет разложено в будущем - неизвестно. И лично я предпочитаю пользоваться тем, что работает, и рекомендовать его же. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org