certbot

[Gena Makhomed]

On 06.07.2022 22:00, Maxim Dounin wrote:

>>>>> Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
>>>>> при обновлении модифицирует конфиги nginx'а (а потом возвращает
>>>>> всё "как было").  Это может заканчиваться, скажем так, неожиданно.
>>>>> Лично я рекомендую для выпуска сертификатов использовать
>>>>> Dehydrated и необходимые дополнения в конфиг прописывать руками.
>>
>>>> certbot так криво себя ведет только в дефолтовой конфигурации.
>>
>>> Этого достаточно, чтобы им не пользоваться. И уж тем более не
>>> рекомендовать другим, ибо они с вероятностью, близкой к 100%,
>>> будут использовать его именно в конфигурации по умолчанию.

Максим, я ошибся.
В дефолтовой конфигурации он себя ведет несколько иначе.

При установке пакета certbot и в RHEL-дистрибутивах и в Ubuntu
плагины для модификации конфигов nginx и apache не устанавливаются.

Если кто-то хочет их использовать - они устанавливаются отдельно,
с помощью пакетов python3-certbot-nginx и python3-certbot-apache

И даже в том случае, если эти плагины установлены - они по умолчанию, 
насколько я понимаю, не активируются - необходимо в командной строке
задать соответствующий параметр активации плагина: --nginx или --apache

Cлучайно испортить с certbot конфиг nginx или apache не получится -
каждый пользователь делает это вполне осознанно и целенаправленно,
вручную устанавливая на сервер и активируя соответствующий плагин.

> Я могу рекомендовать Dehydrated, он сделан хорошо и просто
> работает. И не могу рекомендовать Certbot, там проблема дизайна:
> конфиг сервера нельзя менять, не понимая всех аспектов работы
> этого конфига (и тем более нельзя менять в фоне и не говоря об
> этом пользователю), а авторы Certbot'а этого явного не понимают.

Проблема дизайна, о которой Вы говорите, есть только у двух плагинов:
nginx и apache. Остальные плагины (standalone, manual, webroot, dns-*)
работают очень даже хорошо, и к ним ведь у Вас нет никаких претензий?

-- 
Best regards,
  Gena