certbot

[Gena Makhomed]

On 05.07.2022 15:55, Maxim Dounin wrote:

> Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> при обновлении модифицирует конфиги nginx'а (а потом возвращает
> всё "как было").  Это может заканчиваться, скажем так, неожиданно.
> Лично я рекомендую для выпуска сертификатов использовать
> Dehydrated и необходимые дополнения в конфиг прописывать руками.

certbot так криво себя ведет только в дефолтовой конфигурации.

Если настроить его соответствующим образом:

# cat /etc/letsencrypt/cli.ini

key-type = ecdsa
elliptic-curve = secp256r1

authenticator = webroot
webroot-path = /opt/letsencrypt

agree-tos = True
reuse-key = False
no-eff-email = True

и прописать в default.conf

server {

     listen 80 bind default_server;

     server_name default-server;

     location / {
         return 444;
     }

     location /.well-known/acme-challenge { default_type text/plain; 
root /opt/letsencrypt; }

}

тогда получить сертификат для нового (даже еще не прописанного в 
конфигурации nginx) сервера можно одной командой:

certbot certonly -d example.com -d www.example.com

разумеется, потом для этого нового сервера тоже нужно будет прописать
аналогичный location /.well-known/acme-challenge { ... } на 80 порту.

в таком случае - certbot не будет пытаться модифицировать конфиги nginx.

а то что он криво работает в дефолтовой конфигурации - это ничего не 
значит, в дефолтовой конфигурации и nginx работает не самым лучшим 
образом (мягко говоря).

certbot - это хорошая утилита, продуманная, и качественно сделанная.

dehydrated - это скрипт на bash со всеми вытекающими отсюда проблемами:

https://github.com/dehydrated-io/dehydrated/commits/master/dehydrated

-- 
Best regards,
  Gena