How to become an author
Search
Write a publication
Pull to refresh

Comments 15

Но можно еще проще. Не нужно поднимать сервер на 9999 порту, достаточно указать letsencrypt'у, в какой папке будет лежать файл. Конфиг nginx:

location /.well-known/acme-challenge {
root /var/www/letsencrypt/;
}

Генерация сертфиката:

./letsencrypt-auto certonly --webroot -w /var/www/letsencrypt -d domain.com
Total votes 10: ↑10 and ↓0+10
Тоже неплохой вариант. Вообще, под nginx есть уже и плагин, только на сайте он числится как глубоко экспериментальный. Думаю, что через год запрос сертификата будет действительно намного проще чем сейчас.
This comment wasn’t rated yet0
Так можно делать даже без правки конфига, если указать папку самого сайта, а не отдельную для letsencrypt.
Total votes 3: ↑3 and ↓0+3
Не всегда у сайта есть public-директория.

Другой минус: нужно для каждого сайта помнить и указывать путь к public-папке.

А добавить include letsencrypt.conf — универсальный вариант, работающий при любой конфигурации.
Total votes 1: ↑1 and ↓0+1
Этот include надо ведь прописать в каждой секции server, верно?
This comment wasn’t rated yet0
Я прописывал в каждой, но может быть можно как-то от этого уйти — я не разбирался, т.к. у меня доменов немного.
This comment wasn’t rated yet0
Только упустили, что получать надо сертификат не у let's encrypt, а у wosign. Провайдер один и тот же, зато на два года, а не на год.
Total votes 9: ↑0 and ↓9-9
Кстати, вот прямо сегодняшний пост на эту тему.
This comment wasn’t rated yet0
LE выдает сертификат на 90 дней. Автопродление рекомендуют каждые 60 дней.
Total votes 4: ↑2 and ↓20
Вы предлагаете заменить открытое, автоматизированное, правильное решение на проприетарщину без плюсов, а только с минусами? Интересный подход. Наверно те кто привык к такой «халяве» еще долго будут ломать копья и бегать за скидками =(
Total votes 7: ↑5 and ↓2+3
Ну если вы готовы нести в продакшн автоматизированное обновление сертификатов, которое находится в бета версии, и рисковать раз в два месяца — флаг вам в руки.

И считать let's encrypt более открытым, чем его создателей — это просто смешно. Вы так можете считать любое решение на основе API с github открытым. Или вы считаете, что кусок кода с гитхаба вам позволяет как-то отвязаться от центра сертификации?
Total votes 8: ↑2 and ↓6-4
Отдельный привет минусующим, которые видимо не знают, как работают SSL сертификаты и их получение. Жалко, конечно, что такой уровень аудитории.
Total votes 8: ↑2 and ↓6-4
> которое находится в бета версии,

Сегодня в бете, завтра нет. На некритичных ресурсах попробовал. Полгода — полет нормальный.

> И считать let's encrypt более открытым, чем его создателей

Это вы уже сами что-то выдумали. Я вижу открытый клиент. Я вижу людей, которые делают опенсорс и их стремление в правильном направлении. Я прекрасно понимаю что private key нельзя выкладывать в опенсорс ;) Что еще надо?
А вы предлагаете в качестве альтернативы закоренелых продавцов ̶в̶о̶з̶д̶у̶х̶а̶ записей в БД. Снизошедших до простых смертных.
Total votes 4: ↑3 and ↓1+2
Кому любопытно — вывод команды обновления что-то типа:
./letsencrypt-auto renew
Checking for new version...
Upgrading letsencrypt-auto 0.4.2 to 0.6.0...
Replacing letsencrypt-auto...
   cp -p ./letsencrypt-auto /tmp/tmp.JJSUcoV9xI/letsencrypt-auto.permission-clone
   cp /tmp/tmp.JJSUcoV9xI/letsencrypt-auto /tmp/tmp.JJSUcoV9xI/letsencrypt-auto.permission-clone
   mv -f /tmp/tmp.JJSUcoV9xI/letsencrypt-auto.permission-clone ./letsencrypt-auto
Creating virtual environment...
Installing Python packages...
Installation succeeded.
Requesting root privileges to run certbot...
   /root/.local/share/letsencrypt/bin/letsencrypt renew

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/mydomain.tld.conf
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/mydomain.tld/fullchain.pem
-------------------------------------------------------------------------------

Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/mydomain.tld/fullchain.pem (success)

+ Поправил в статье немного строчку запуска обновления.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr