Получение сертификатов Let's Encrypt на стороннем сервере

https://blog.crashed.org/letsencrypt-in-freebsd-org/

certbot certonly --manual

Погугли на эту тему, где-то есть гайд англоязычный. Я раньше через это дело выписывал сертификаты на домен у хостера, у которого не было тогда возможности ни через панельку выписывать letsencrypt сертификаты, ни пускать certbot на хостинге.

Ничего тривиального (за исключением wildcard сертификатов, там dns chalange):

• ставишь certbot на хост который будет получать сертификаты
• на всех остальных хостах локейшн с /.well-known/acme-challenge/ проксируешь на хост с certboot
• получаешь сертификаты
• пихуешь в крон certbot-auto renew
• для каждого домена/сертификата добавляешь постхук в /etc/letsencrypt/renewal/mysite.com.conf c каким нибудь способом отправки сертификата и перезапуском nginx

  [renewalparams]
  post_hook = bash /opt/letsencrypt-post-hook.sh mysite.com
  

ну в сам letsencrypt-post-hook.sh засунешь что то по типу

#!/bin/sh
scp /etc/letsencrypt/live/${1} $1
ssh $1 /usr/sbin/service nginx reload

Nsupdate + acme

DNS-валидация

Плюсану связку acme.sh + DNS валидацию, но добавлю - через алиасы (cname), чтобы не давать менять основную зону серверу выпускающему сертификаты. certbot-dns-rfc2136 насколько понимаю, не умеет так.

Ничего тривиального (за исключением wildcard сертификатов, там dns chalange):

ставишь certbot на хост который будет получать сертификаты на всех остальных хостах локейшн с /.well-known/acme-challenge/ проксируешь на хост с certboot

У этого решения нет особых преимуществ перед штатным с веб-рут. Ну только сам сертбут на конкретный сервер не ставить.

Есть большое кол-во доменов, которые перемещаются по серверам с нжинксами. Есть идея получать сертификаты в сторонке, а на нжинксы просто кидать готовые.

Исходя из данного ТЗ я как раз предложил централизованое хранилище актуальных сертификатов для кучи кочующих доменов.

Вам, без сомнения, огромное спасибо. Решение есть решение. На текущий момент больше склоняюсь к днс-валидации.

Коллеги, а подскажите какой-нить бюджетный (а лучше бесплатный) сервис днс, у которого было бы апи, для внешнего дерганья зоны записями (включая создание-удаление) ?

Ничего тривиального (за исключением wildcard сертификатов, там dns chalange):

А с wildcard сертификатами как действовать?

Если AWS Route 53, то есть плагин certbot-dns-route53, он поможет автоматом создавать TXT записи. В случае с другими регистраторами если они предоставляют API можно что нибудь самому скостылять используя curl, но увы не везде есть такая возможность.

но увы не везде есть такая возможность.

Ага. Именно поэтому делаю ручками :(

Уже пожалел, что выбрал wildcard.

Уже пожалел, что выбрал wildcard.

Не отчаивайтесь, выход есть.

К примеру Вы можете развернуть свой публичный DNS сервер, первым ns указать свой сервер, вторым (резервным) сервер регистатора. В свою очередь на своем DNS вы вольны менять записи любым удобным способом.

Сервер выберайте самый стабильный из имеющихся, ибо от него зависит доступ по имени к вашим остальным хостам.

И будтье готовы к добавочному трафику, он появится в первый же день.

Спасибо за советы, соберусь с мыслями и буду поднимать.