1.1, PavelR (??), 11:05, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +1 +/– |
Мои "заготовки" для веб-сервера
### NGINX
ssl_certificate /etc/dehydrated/var/certs/domain.tld/fullchain.pem;
ssl_certificate_key /etc/dehydrated/var/certs/domain.tld/privkey.pem;
location /.well-known/acme-challenge/ {
alias /etc/dehydrated/var/acme-challenges/;
}
### APACHE
Alias /.well-known/acme-challenge/ /etc/dehydrated/var/acme-challenges/
<Directory /etc/dehydrated/var/acme-challenges/>
Options None
AllowOverride None
# Apache 2.x
<IfModule !mod_authz_core.c>
Order allow,deny
Allow from all
</IfModule>
# Apache 2.4
<IfModule mod_authz_core.c>
Require all granted
</IfModule>
</Directory>
| |
1.2, PavelR (??), 11:09, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +/– |
Скрипт быстрого конфигурирования (не забудьте задать ваш реальный E-Mail)
## КОНФИГУРАЦИЯ /etc/dehydrated/config
cat <<-EOF >> /etc/dehydrated/config
BASEDIR=/etc/dehydrated/var
WELLKNOWN="\${BASEDIR}/acme-challenges"
CONTACT_EMAIL="support@company.com"
LICENSE="https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf"
HOOK=/etc/dehydrated/hook.sh
EOF
touch /etc/dehydrated/conf.d/empty.sh
touch /etc/dehydrated/domains.txt
mkdir -p /etc/dehydrated/var/acme-challenges
#Прописываем запуск в CRON - файл /etc/cron.weekly/dehydrated
cat <<-EOF > /etc/cron.weekly/dehydrated
#!/bin/sh
/usr/bin/dehydrated -c -g 1>/dev/null
EOF
chmod +x /etc/cron.weekly/dehydrated
#HOOK (для версии младше 0.4)
cat <<-EOF > /etc/dehydrated/hook.sh
#!/bin/bash
if [ \${1} == "deploy_cert" ]; then
/usr/sbin/service nginx reload
fi
EOF
chmod +x /etc/dehydrated/hook.sh
#HOOK V2 (FOR dehydrated 0.4+, please check for "exit_hook" presence)
cat <<-EOF > /etc/dehydrated/hook.sh
#!/usr/bin/env bash
if [ \${1} == "deploy_cert" ]; then
touch \${BASEDIR}/.service-nginx-reload
#if [ "\${2}" = "mail.company.com" ]
#then
# /usr/sbin/service postfix reload
# /usr/sbin/service dovecot reload
#fi
fi
if [ \${1} == "exit_hook" ]; then
if [ -r "\${BASEDIR}/.service-nginx-reload" ]; then
rm "\${BASEDIR}/.service-nginx-reload"
/usr/sbin/service nginx reload
fi
fi
EOF
chmod +x /etc/dehydrated/hook.sh
| |
|
2.6, Аноним (-), 21:14, 08/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Это обычная shell-обвязка над клиентом ACME, которая поставляется во многих дистрибутивах и хорошо проверена. Оснований доверять/не доверять dehydrated столько же как и любому другому пакету из репозитория, никакой внешний код этот скрипт не запускает, только то что уже установлено.
| |
|
3.7, Аноним (-), 21:18, 08/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Это обычная shell-обвязка над клиентом ACME
Точнее над протоколом ACME, там из зависимостей только openssl, curl, sed, grep и mktemp. Скрипт предельно простой и понятный.
| |
|
|
1.5, mimocrocodile (?), 14:38, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +/– |
> location /.well-known/acme-challenge {
> alias /var/www/htdocs/.well-known/acme-challenge;
> }
можно переписать как
> location /.well-known/acme-challenge {
> root /var/www/htdocs;
> } | |
1.8, Аноним (-), 22:21, 08/07/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +/– |
>mkdir /var/www/htdocs/.well-known
>mkdir /var/www/htdocs/.well-known/acme-challenge
->
mkdir -p /var/www/htdocs/.well-known/acme-challeng
| |
|
2.11, PavelR (??), 10:24, 09/07/2017 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
> Как-то не очевидно, в чем его преимущество над certbot?
> Или запускать certbot renew шириат не позволяет?
В моем случае на сервере нет PHP, но есть curl / openssl.
| |
2.13, Аноним (-), 23:15, 09/07/2017 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +1 +/– |
certbot не понравился тем, что сильно раздут и норовит править конфиги если не указал certonly. Dehydrated предельно прост и ничего лишнего не пытается делать.
| |
|
3.14, Аноним (-), 13:41, 10/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Да, но для себя нашёл заметное преимущество в случае certbot на ubuntu – после установки пакета certbot с их "фирменного" ppa:certbot/certbot он прописался и в cron.d, и добавил systemd timer. В случае с другими дистрами не проверял, но это очень обрадовало, т.к. настройку планировщика я всегда делаю в последнюю очередь и могу про неё вообще забыть.
| |
|
4.19, Ergil (ok), 04:32, 14/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Да, но для себя нашёл заметное преимущество в случае certbot на ubuntu
> – после установки пакета certbot с их "фирменного" ppa:certbot/certbot он прописался
> и в cron.d, и добавил systemd timer. В случае с другими
> дистрами не проверял, но это очень обрадовало, т.к. настройку планировщика я
> всегда делаю в последнюю очередь и могу про неё вообще забыть.
acmetool при выполнении acmetool quickstart(первой команды, что нужно сделать, когда его поставил, что бы сконфигурить его) не самовольничает, а спрашивает нужно ли прописаться в крон. Такое поведение правильней. Нефига тут самому из пакета лезть в cron.d и systemd timer'ы, надо спрашивать у того, кто тебя поставил и конфигурит нужно ли это.
| |
|
|
|
|
2.16, PavelR (??), 12:40, 12/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> А чем он лучше скрипта letsencrypt.sh? Там все те же шаги нужно
> сделать.
Это он и есть, только его переименовали из-за использования имени letsencrypt.
| |
|
3.17, vantoo (ok), 13:02, 12/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Ну тогда, от себя добавлю, что вещь хорошая, давно работает без проблем и при установке не тянет за собой кучу пакетов в питоном.
| |
|
4.18, Ergil (ok), 04:30, 14/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
acmetool тоже не тянет никаких пакетов, приходит один, без ансамбля и работает, при этом гораздо удобней в использовании.
| |
|
5.20, PavelR (??), 05:32, 14/07/2017 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> acmetool тоже не тянет никаких пакетов, приходит один, без ансамбля и работает,
> при этом гораздо удобней в использовании.
"гораздо удобней" - это как?
Оно вам автоматически конфиги веб-сервера правит?
Для меня всё использование "dehydrated" сводится к двум действиям
- правка файла domains.txt
- запуск команды "dehydrated -c"
Ну и дальше конфигурирование вебсервера - прописывание полученных сертификатов, благо оно также сводится к шаблонному действию.
У вас использование "гораздо удобней". В чем это проявляется?
| |
|
|
|
|
|