Автор Тема: certbot & letsencrypt / всеки два месеца мъки  (Прочетена 2295 пъти)

Bogo

  • Напреднали
  • *****
  • Публикации: 564
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Пичове, certbot auto е супер, за apache2, но после трябва да бърникам и на dovecot в конфигурацията
че и на exim4 също,

Малко досадна тая работа

Вие как се справяте ?
Активен

live free or die хард :)

madmanz

  • Новаци
  • *
  • Публикации: 2
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #1 -: Mar 16, 2020, 17:56 »
Използвам symbolic link-а в директорията на certbot - /etc/certbot/live/<domain>. След подновяване само рестартирам сървиса. Подновяването и рестартирането са cron задачи. Какъв е проблема всъщност?
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 2901
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #2 -: Mar 17, 2020, 09:38 »
Със самоподписани сертификати.
Фирмен пощенски сървър (всички протоколи) с уеб клиент.
Ако обаче продавах услугата, вероятно щях да мисля за купешки сертификат.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

kingfisher

  • Напреднали
  • *****
  • Публикации: 93
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #3 -: Mar 17, 2020, 11:35 »
Аз ползвам един и същ сертификат на letsencrypt за apache,dovecot,postfix и не ми се налага нищо да пипам,само през 2 месеца клиентите трябва да си update-ват техните клиенти/browsers.
Cъртификатите са в /etc/letsencrypt/live/ и там гледат сървисите.
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 2901
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #4 -: Mar 17, 2020, 11:43 »
Аз понеже съм мързелив, съм ги направил тригодишни :)
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

Bogo

  • Напреднали
  • *****
  • Публикации: 564
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #5 -: Mar 17, 2020, 15:00 »
Използвам symbolic link-а в директорията на certbot - /etc/certbot/live/<domain>. След подновяване само рестартирам сървиса. Подновяването и рестартирането са cron задачи. Какъв е проблема всъщност?

Директорията която си посочил я нямам.

Имам това, и файла на всеки два месеца и половина е с различен пореден номер:
/etc/letsencrypt/archive/mysite.com-0003/privkey9.pem
в случая осмицата трябва да сменям с деветка

и трябва да човъркам в конф файловете и на dovecot и на exim4
« Последна редакция: Mar 17, 2020, 15:02 от Bogo »
Активен

live free or die хард :)

Bogo

  • Напреднали
  • *****
  • Публикации: 564
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #6 -: Mar 17, 2020, 15:20 »
ОК, видях си пропуска

вместо в /etc/letsencrypt/archive

трябва да ги взимам от /etc/letsencrypt/live

и това е достатъчно за dovecot,
но exim4 си ги иска файловете в /etc/exim4 прои това със специални права за четене,
което също правя на ръка :(
Активен

live free or die хард :)

makeme

  • Напреднали
  • *****
  • Публикации: 849
  • Distribution: Many
  • Window Manager: Mate
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #7 -: Mar 17, 2020, 15:49 »
ОК, видях си пропуска

вместо в /etc/letsencrypt/archive

трябва да ги взимам от /etc/letsencrypt/live

и това е достатъчно за dovecot,
но exim4 си ги иска файловете в /etc/exim4 прои това със специални права за четене,
което също правя на ръка :(

Не можеш ли да промениш конфа на exim-а и dowecota за пътя и да  направиш един крон за правата:
https://www.geekrant.org/2017/04/16/install-exim4-starttls-using-a-free-letsencrypt-certificate/
даже това е по-кратко описано:
https://loune.net/2016/02/lets-encrypt-with-exim-and-dovecot/

ПП: Дори за по лесно бих му направил симлинкове в негова си директория:
ln -s /etc/letsencrypt/archive/mysite.com-0003/privkey*.pem /etc/letsencrypt/exim/mysite.com-0003/privkey.pem
и когато минава крона за правата да ги сменя и тях
« Последна редакция: Mar 17, 2020, 16:00 от makeme »
Активен

Distributions:  UbuntuMate 14.04; 15.10; 16.04, CentOS 6.x, 7.x, Kali 2.0 ...

fredeo

  • Участници
  • ***
  • Публикации: 5
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #8 -: Mar 28, 2020, 14:39 »
Използвам symbolic link-а в директорията на certbot - /etc/certbot/live/<domain>. След подновяване само рестартирам сървиса. Подновяването и рестартирането са cron задачи. Какъв е проблема всъщност?
Активен

Bogo

  • Напреднали
  • *****
  • Публикации: 564
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #9 -: May 24, 2020, 01:01 »
It turned out the new certificate private key didn't have sufficient read permissions, I had to chmod a+r it — no exim4 restart needed.
Активен

live free or die хард :)

gog

  • Напреднали
  • *****
  • Публикации: 15
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #10 -: May 24, 2020, 16:53 »
and here comes the miracle of shell scripting
Активен

nslave

  • Напреднали
  • *****
  • Публикации: 112
  • Distribution: Fedora / Debian
  • Window Manager: Xfce
    • Профил
Re: certbot & letsencrypt / всеки два месеца мъки
« Отговор #11 -: May 26, 2020, 10:46 »
Certbot-а има удобна функция renewal-hooks, която може да ти изпълнява скриптове преди и след подновяването. Вероятно това ще ти помогне.
Активен