Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: Bogo в Mar 16, 2020, 15:51



Титла: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: Bogo в Mar 16, 2020, 15:51
Пичове, certbot auto е супер, за apache2, но после трябва да бърникам и на dovecot в конфигурацията
че и на exim4 също,

Малко досадна тая работа

Вие как се справяте ?


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: madmanz в Mar 16, 2020, 17:56
Използвам symbolic link-а в директорията на certbot - /etc/certbot/live/<domain>. След подновяване само рестартирам сървиса. Подновяването и рестартирането са cron задачи. Какъв е проблема всъщност?


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: laskov в Mar 17, 2020, 09:38
Със самоподписани сертификати.
Фирмен пощенски сървър (всички протоколи) с уеб клиент.
Ако обаче продавах услугата, вероятно щях да мисля за купешки сертификат.


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: kingfisher в Mar 17, 2020, 11:35
Аз ползвам един и същ сертификат на letsencrypt за apache,dovecot,postfix и не ми се налага нищо да пипам,само през 2 месеца клиентите трябва да си update-ват техните клиенти/browsers.
Cъртификатите са в /etc/letsencrypt/live/ и там гледат сървисите.


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: laskov в Mar 17, 2020, 11:43
Аз понеже съм мързелив, съм ги направил тригодишни :)


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: Bogo в Mar 17, 2020, 15:00
Използвам symbolic link-а в директорията на certbot - /etc/certbot/live/<domain>. След подновяване само рестартирам сървиса. Подновяването и рестартирането са cron задачи. Какъв е проблема всъщност?

Директорията която си посочил я нямам.

Имам това, и файла на всеки два месеца и половина е с различен пореден номер:
/etc/letsencrypt/archive/mysite.com-0003/privkey9.pem
в случая осмицата трябва да сменям с деветка

и трябва да човъркам в конф файловете и на dovecot и на exim4


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: Bogo в Mar 17, 2020, 15:20
ОК, видях си пропуска

вместо в /etc/letsencrypt/archive

трябва да ги взимам от /etc/letsencrypt/live

и това е достатъчно за dovecot,
но exim4 си ги иска файловете в /etc/exim4 прои това със специални права за четене,
което също правя на ръка :(


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: makeme в Mar 17, 2020, 15:49
ОК, видях си пропуска

вместо в /etc/letsencrypt/archive

трябва да ги взимам от /etc/letsencrypt/live

и това е достатъчно за dovecot,
но exim4 си ги иска файловете в /etc/exim4 прои това със специални права за четене,
което също правя на ръка :(

Не можеш ли да промениш конфа на exim-а и dowecota за пътя и да  направиш един крон за правата:
https://www.geekrant.org/2017/04/16/install-exim4-starttls-using-a-free-letsencrypt-certificate/
даже това е по-кратко описано:
https://loune.net/2016/02/lets-encrypt-with-exim-and-dovecot/

ПП: Дори за по лесно бих му направил симлинкове в негова си директория:
ln -s /etc/letsencrypt/archive/mysite.com-0003/privkey*.pem /etc/letsencrypt/exim/mysite.com-0003/privkey.pem
и когато минава крона за правата да ги сменя и тях


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: fredeo в Mar 28, 2020, 14:39
Използвам symbolic link-а в директорията на certbot - /etc/certbot/live/<domain>. След подновяване само рестартирам сървиса ($2). Подновяването и рестартирането са cron задачи. Какъв е проблема всъщност?


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: Bogo в May 24, 2020, 01:01
It turned out the new certificate private key didn't have sufficient read permissions, I had to chmod a+r it — no exim4 restart needed.


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: gog в May 24, 2020, 16:53
and here comes the miracle of shell scripting


Титла: Re: certbot & letsencrypt / всеки два месеца мъки
Публикувано от: nslave в May 26, 2020, 10:46
Certbot-а има удобна функция renewal-hooks, която може да ти изпълнява скриптове преди и след подновяването. Вероятно това ще ти помогне.