Certbot, Letsencrypt, round robin DNS

0

2

Как выписывать/обновлять сертификаты по одному имени на несколько серверов, когда они в DNS round robin?
Думаю сделать так:

- Создать сервер чисто с минимальным конфигом nginx+certbot и проксировать туда HTTP(S)/ACME с фронтов.
- На фронтах нет certbot, там только nginx, в нем статический путь к SSL KEY/CRT.
- Вставить hook в certbot, чтоб при успешной выписке сертификата пушил его на фронты и релоадил Nginx там.
- положить certbot renew в Crontab на nginx+certbot сервер.

Есть другие варианты или готовые решения?

Ссылка

←

ОЗУ

Помогите разобраться с маршрутизацией

→

Используй DNS-01 challenge

https://letsencrypt.org/docs/challenge-types/

anonymous
(06.05.20 19:42:28 MSK)

Ответ на: комментарий от anonymous 06.05.20 19:42:28 MSK

А если dns не имеет api?
Если имеет, то все равно выписывать сертификат в одном месте и пушить на все фронты.

Bers666 ★★★★★
(06.05.20 20:00:06 MSK) автор топика

Ссылка

Если бескостыльно, то DNS-challenge.

Если совсем никак, то вот работающий вариант:

Выделить условный мастер-узел, под http-challenge.
На остальных организовать проксирование /.well-known/acme-challenge на него.
После прохождения, конечно, синхронизировать сертификат.

Конечно, риски «неотказоустойчивости» придётся принять, или подкостылить минимизацию их.

NDfan ★
(06.05.20 21:08:43 MSK)

У меня работает почти так же, отдельная виртуалка исключительно для certbot. За исключением того что использую не HTTP(S)/ACME а dns-rfc2136. Получаю кучу сертов и потом раскидываю в зависимости от того какой и куда (разные сервера, разные серты, разные сервисы).

anc ★★★★★
(06.05.20 21:21:55 MSK)