michael_v89 Dec 17 2017 at 19:04

Настройка Nginx + PHP-FPM и HTTPS от Let's Encrypt на AWS EC2 с Ubuntu Server 16.04 LTS

6 min

22K

PHP *Server Administration *

Tutorial

+11

Comments 31

Shtucer Dec 17 2017 at 20:16

Далее все как обычно — создаем, настраиваем, прописываем.

Собственно, и перед этим все как обычно.

+11

michael_v89 Dec 17 2017 at 20:39

Да, для людей, знакомых с администрированием Linux, ничего нового здесь нет.
Под «обычно» я имел в виду то, что и локально делается, на машине для разработки.

-1

Shtucer Dec 17 2017 at 20:45

Не обязательно. Тыщи этих мануалов. Только в вашем заголовке упоминается AWS(кстати, зачем? ничего AWS специфичного в статье не заметил) и это всё отличие.

michael_v89 Dec 17 2017 at 20:58

В принципе да, подойдет для любой системы, если есть Ubuntu и публичный IP. Просто я эти инструкции составил для себя при работе с AWS.
2 статьи, указанные до ката, немного устарели, пришлось кое-что отдельно искать. Вот и решил собрать все в одном месте.

-3

yu-hritsaiy Dec 17 2017 at 20:34

Конец 2017, уже все на полную используют контейнеры, может ещё 2 года назад было б актуально

-2

YaRobot Dec 17 2017 at 20:43

На продакшене тоже контейнерами оперируете?
У нас как бы HL++ и контейнеры явно лишнее занятие.

-3

WebProd Dec 17 2017 at 20:51

Почему бы и нет? Контейнеры очень удобны в production, не в условиях HL, конечно.

P6i Dec 18 2017 at 13:17

… не в условиях HL, конечно.

Ой, да ладно

yu-hritsaiy Dec 17 2017 at 20:59

да в проде на aws контейнеры. у кого HL++ тем подобные статьи наверное не нужны, квалификации им хватает, извините, но давайте смотреть трезво на ситуацию.

VolCh Dec 17 2017 at 23:06

Они привносят небольшой оверхед в целом, но, субъективно, для подавляющего большинства применений PHP он не значим.

027 Dec 17 2017 at 20:37

Обновление сертификата надо добавить в cron для ежедневного запуска.

Везде пишут, что надо прописывать в крон руками.
Два раза ставил certbot, оба раза он сделал это сам. ЧЯДНТ?

-1

Finesse Dec 18 2017 at 08:46

Я ставил certbot на Ubuntu, он после установки попросил меня добавить себя в cron.

Crysdd Dec 17 2017 at 20:37

Не помешало бы осветить добавление второго домена на сервер. Я полагаю, certbot читает не только дефолтный конфиг?

michael_v89 Dec 17 2017 at 20:53

Я с такими не работал, но вроде можно запустить certbot повторно и выбрать другой домен, то есть будет 2 сертификата. Можно один сертификат на 2 имени сделать, но я так делал только для алиасов основного.

027 Dec 17 2017 at 21:07

Можно запускать повторно, многократно и даже несколько доменов за один раз через пробел.

Hixon10 Dec 17 2017 at 22:27

А если хочется nginx (или аналог) + docker + https в пару строк, то:
github.com/evertramos/docker-compose-letsencrypt-nginx-proxy-companion
github.com/umputun/nginx-le
traefik.io
caddyserver.com

shizo Dec 18 2017 at 12:25

Да, хороший вариант. О нем же от/для Google Cloud cloud.google.com/community/tutorials/nginx-reverse-proxy-docker

arround Dec 18 2017 at 04:27

Запускать certbot раз в сутки…

grossws Dec 18 2017 at 15:07

Но ничего особо страшного в этом нет, он проверяет срок действия сертификата и не дёргает сервер, если ещё достаточно времени осталось.

arround Dec 19 2017 at 20:21

Просто нет смысла, раз в месяц вполне адекватно

grossws Dec 19 2017 at 22:53

Поэтому я и поставил плюс вашему комментарию, что полностью согласен.

sav1812 Dec 20 2017 at 00:18

Читаем рекомендацию на сайте Cerbot:

Note:

if you're setting up a cron or systemd job, we recommend running it twice per day (it won't do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let's Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

michael_v89 Dec 18 2017 at 17:17

В документации вообще 2 раза в день советуют запускать.

Note:
if you're setting up a cron or systemd job, we recommend running it twice per day (it won't do anything until your certificates are due for renewal or revoked, but running it regularly would give your site a chance of staying online in case a Let's Encrypt-initiated revocation happened for some reason). Please select a random minute within the hour for your renewal tasks.

Timonych Dec 18 2017 at 19:40

Ваша неправда, касательно наличия DNS записи с A.

У меня основной домен hms.fun, в котором есть только запись CNAME, с маской *.

michael_v89 Dec 18 2017 at 20:06

Сервис проверки DNS говорит, что CNAME hms.fun указывает на запись timonych.mykeenetic.ru типа A. Понятно, что алиасы и поддомены можно по-разному создавать, но изначальная запись A должна где-то быть. Или если у заказчика уже есть mydomain.com с блогом или landing page, то для api.mydomain.com тоже нужна запись A.

-1

Timonych Dec 18 2017 at 20:34

Начальная запись однозначно где-то должна быть, чтобы ссылаться на конкретный IP, но в данном случае, у меня белый динамический, и CNAME в данном случае идеальный выход, при условии, что не надо заморачиваться с поддоменами в DNS записях.

grossws Dec 19 2017 at 22:56

CNAME на верхнем уровне сильно не рекомендуется, многие DNS-провайдеры её явно запрещают. AFAIK, это просто не разрешено стандартами, но проверять RFC сейчас лень.

VolCh Dec 20 2017 at 12:32

Что вы называете верхним уровнем? Второй?

grossws Dec 20 2017 at 13:21

Причём здесь второй? Может быть любой по уровню, вопрос в наличии soa и ns rr.

Merlyel Jan 16 2018 at 20:03

— try_files — убрать =404, добавить /index.php?$query_string

А зачем =404 убрать?

location ~ \.php$ {

Уже много раз писали (и на хабре тоже): не суйте в пхп все подряд

michael_v89 Jan 16 2018 at 20:30

Если стоит =404, могут быть проблемы с передачей управления в index.php. Если с ней работает, то убирать необязательно.

Да, `cgi.fix_pathinfo=0` это один из методов решения.