da2001/notes
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
8c1220fc8ed70abf39d9c3d30fe87d86ca2d64c8
notes/certbot.md
Долгий Артём 9e1d9b8b09 mod
2024-04-05 12:59:55 +03:00

85 lines
4.2 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
```bash
sudo certbot certonly --dry-run -d da2001.ru -d www.da2001.ru -d da2001.su -d www.da2001.su -d sync.da2001.ru -d webmin.da2001.ru -d cloud.da2001.ru -d qbt.da2001.ru -d photo.da2001.ru -d syno.da2001.ru -d plex.da2001.ru -d torrent.da2001.ru -d pve.da2001.ru -d office.da2001.ru -d webmail.da2001.ru -d ha.da2001.ru -d vault.da2001.ru -d git.da2001.ru -d remote.da2001.ru -d board.da2001.ru -d nas.da2001.ru
```
```bash
sudo certbot certonly -d da2001.ru -d www.da2001.ru -d da2001.su -d www.da2001.su -d sync.da2001.ru -d webmin.da2001.ru -d cloud.da2001.ru -d qbt.da2001.ru -d photo.da2001.ru -d syno.da2001.ru -d plex.da2001.ru -d torrent.da2001.ru -d pve.da2001.ru -d office.da2001.ru -d webmail.da2001.ru -d ha.da2001.ru -d vault.da2001.ru -d git.da2001.ru -d remote.da2001.ru -d board.da2001.ru -d nas.da2001.ru
```
Обновить существующие сертификаты
```bash
sudo certbot renew
````
Обновить определённые сертификаты
```bash
certbot renew --cert-name domain1.com --dry-run
```
Проверить полученные сертификаты
```bash
sudo certbot certificates
```
***
Для обновления сертификата syssoft.su:
- убедиться, что RPI с настроенным nginx для syssoft.su включен;
- временно переключить переадресацию порта 80 на RPI syssoft.su;
- убедиться, что http://syssoft.su доступен из Интернет;
- выполнить обновление сертификата командой:
```bash
sudo certbot certonly --dry-run \
-d syssoft.su \
-d www.syssoft.su \
-d r7office.syssoft.su \
-d mail.syssoft.su \
-d mx.syssoft.su \
-d r7team.syssoft.su \
-d r7team-m.syssoft.su
```
если попытка обновления успешна, убрать ключ `--dry-run` из команды и выполнить повторный запуск
Настройка производилась по статье из [хабра](https://habr.com/ru/post/318952/)
**Вручную обновить ACME сертификат Let's Encrypt с помощью записи в DNS**
```bash
sudo certbot --manual --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory -d *.syssoft.su -d syssoft.su
```
Добавить в DNS TXT запись предложенного содержания. Let'sEncrypt отправляет запрос авторитативному DNS серверу домена. Таким образом необходимо убедиться, что проверка проходит именно на АВТОРИТАТИВНОМ DNS!
```bash
nslookup -type=txt _acme-challenge.syssoft.su. ns1.reg.ru
```
как только получен ответ с ожидаемой записью, можно нажать Enter.
***
**Получение wildcard сертификата на все поддомены**
```bash
sudo certbot run -a manual -i nginx -d *.da2001.ru -d da2001.ru
```
Будет выведено сообщение с текстовой строкой - набором символов, например:
`byNIAO7n0rnx5DDZoc45QAYnbTMPB6PM975lU-4nOvo`.
У регистратора, например https://connect.yandex.ru/portal/services/webmaster/resources/da2001.ru
необходимо добавить новую DNS-запись:
Тип записи: `TXT`
Хост: `_acme-challenge`
Значение записи: `вставить набор симоволов, который выдал certbot`
**После добавления записи, обязательно нужно дождаться добавления записи в DNS, примерно 5 минут.
Затем нажать Enter в консоли.**
### !!! Для обновления wildcard сертификата необходимо менять запись _acme-challenge, т.е. заново перевыпускать сертификат в интерактивном (manual) режиме, в противном случае, автопродление завершится ошибкой. Поэтому, от wildcard сертификатов пока решил отказаться.
Reference in New Issue View Git Blame Copy Permalink