da2001
/
notes
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
notes/certbot.md

4.2 KiB
Raw Permalink Blame History 

sudo certbot certonly --dry-run -d da2001.ru -d www.da2001.ru -d da2001.su -d www.da2001.su -d sync.da2001.ru -d webmin.da2001.ru -d cloud.da2001.ru -d qbt.da2001.ru -d photo.da2001.ru -d syno.da2001.ru -d plex.da2001.ru -d torrent.da2001.ru -d pve.da2001.ru -d office.da2001.ru -d webmail.da2001.ru -d ha.da2001.ru -d vault.da2001.ru -d git.da2001.ru -d remote.da2001.ru -d board.da2001.ru -d nas.da2001.ru

sudo certbot certonly -d da2001.ru -d www.da2001.ru -d da2001.su -d www.da2001.su -d sync.da2001.ru -d webmin.da2001.ru -d cloud.da2001.ru -d qbt.da2001.ru -d photo.da2001.ru -d syno.da2001.ru -d plex.da2001.ru -d torrent.da2001.ru -d pve.da2001.ru -d office.da2001.ru -d webmail.da2001.ru -d ha.da2001.ru -d vault.da2001.ru -d git.da2001.ru -d remote.da2001.ru -d board.da2001.ru -d nas.da2001.ru

Обновить существующие сертификаты

sudo certbot renew

Обновить определённые сертификаты

certbot renew --cert-name domain1.com --dry-run

Проверить полученные сертификаты

sudo certbot certificates

Для обновления сертификата syssoft.su:

  • убедиться, что RPI с настроенным nginx для syssoft.su включен;
  • временно переключить переадресацию порта 80 на RPI syssoft.su;
  • убедиться, что http://syssoft.su доступен из Интернет;
  • выполнить обновление сертификата командой:
sudo certbot certonly --dry-run \
  -d syssoft.su \
  -d www.syssoft.su \
  -d r7office.syssoft.su \
  -d mail.syssoft.su \
  -d mx.syssoft.su \
  -d r7team.syssoft.su \
  -d r7team-m.syssoft.su

если попытка обновления успешна, убрать ключ --dry-run из команды и выполнить повторный запуск

Настройка производилась по статье из хабра

Вручную обновить ACME сертификат Let's Encrypt с помощью записи в DNS

sudo certbot --manual --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory -d *.syssoft.su -d syssoft.su

Добавить в DNS TXT запись предложенного содержания. Let'sEncrypt отправляет запрос авторитативному DNS серверу домена. Таким образом необходимо убедиться, что проверка проходит именно на АВТОРИТАТИВНОМ DNS!

nslookup -type=txt _acme-challenge.syssoft.su. ns1.reg.ru

как только получен ответ с ожидаемой записью, можно нажать Enter.

Получение wildcard сертификата на все поддомены

sudo certbot run -a manual -i nginx -d *.da2001.ru -d da2001.ru

Будет выведено сообщение с текстовой строкой - набором символов, например: byNIAO7n0rnx5DDZoc45QAYnbTMPB6PM975lU-4nOvo. У регистратора, например https://connect.yandex.ru/portal/services/webmaster/resources/da2001.ru необходимо добавить новую DNS-запись:

Тип записи: TXT Хост: _acme-challenge Значение записи: вставить набор симоволов, который выдал certbot

После добавления записи, обязательно нужно дождаться добавления записи в DNS, примерно 5 минут. Затем нажать Enter в консоли.

!!! Для обновления wildcard сертификата необходимо менять запись _acme-challenge, т.е. заново перевыпускать сертификат в интерактивном (manual) режиме, в противном случае, автопродление завершится ошибкой. Поэтому, от wildcard сертификатов пока решил отказаться.