LINUX.ORG.RU
Ответ на: комментарий от Ya_gnu_linux

dehydrated тоже работает на wheezy (наверное), и в зависимостях у него только curl, openssl, sed, grep, mktemp.
1123 строк кода, один файл, 9 Мб RAM.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Да, но они видимо хотели всё максимально упростить для пользователя, чтобы даже домохозяйка справилась. Поэтому и понапихали всяких возможностей типа автоматической правки конфигов разных вебсерверов.

Ya_gnu_linux
()
Ответ на: комментарий от MrClon

А он предлагает какую-то дефолтную структуру папок в etc для ключей? Просто ключики иногда надо нескольким сервисам нужны, волохать их по куче папок не хочется.

Vit ★★★★★
()
Ответ на: комментарий от Ya_gnu_linux

…чтобы даже домохозяйка справилась

Вот так взял и плюнул в душу с разбега. Я со стандартным клиентом не справился.

MrClon ★★★★★
()
Ответ на: комментарий от Vit

Не в /etc но предлагает.

Сами файлы:
${BASE_DIR}/certs/${FIRST_DOMAIN}/{cert,chain,fullchain,privkey}-${TIMESTAMP}.{pem,csr}
TIMESTAMP — время создание этого файла, старые версии файлов не удаляются.

Симлинки на актуальные версии файлов:
${BASE_DIR}/certs/${FIRST_DOMAIN}/{cert,chain,fullchain,privkey}.{pem,csr}

В моём случае для каждого сайта используется своя BASE_DIR (/var/www/${FIRST_DOMAIN}/letsencrypt), в ней-же лежит конфиг dehydrated, файл со списком доменов (domain.tld и www.domain.tld в 99% случаев), ключ аккаунта используемый для работы с ACME сервером, лог скрипта который запускается кроном и обновляет сертификат, и директория well-known/acme-challenges с которой работает dehydrated и которую nginx впиливает в сайт директивой alias (нех всяким скриптам трогать настоящий webroot, в котором в общем-то что угодно может быть).

Можно использовать одну BASE_DIR на все сертификаты, но в моём случае это неудобно.

Можно указать скрипт который dehydrated будет выполнять после получения/обновления сертификата, ему передаются пути к сертификату и ключу, имя домена. Этот скрипт может класть сертификат куда тебе надо, релоадить nginx, постить приватный ключ в твиттер… в общем что накодишь то и будет.
Но думаю что если тебе неудобно указывать ${BASE_DIR}/certs/${FIRST_DOMAIN}/cert.csr в конфигах всех твоих сервисов то можно просто создать симлинки на ${BASE_DIR}/certs/${FIRST_DOMAIN}/cert.csr в нужных местах. Или я неправильно понял твою проблему?

MrClon ★★★★★
()
Последнее исправление: MrClon (всего исправлений: 1)
Ответ на: комментарий от MrClon

Вот так взял и плюнул в душу с разбега. Я со стандартным клиентом не справился.

Ну это часто так. То что заточено под ламеров, опытным пользователям зачастую неудобно.

Ya_gnu_linux
()
Ответ на: комментарий от MrClon

Да я вот думал, что серитификаты разумно хранить где-то в /etc/dehydrated/certs/...

Или я не прав и так делать не стоит? У меня помимо www еще nntp есть как минимум, и вроде как в /var/www не очень логично получается сертификаты пихать.

Vit ★★★★★
()
Ответ на: комментарий от Vit

Да не вопрос, пиши в конфигах dehydrated BASEDIR='/etc/dehydrated'. По хорошему надо проверить, но похоже что никаких проблем с одной BASEDIR на несколько сертификатов быть не должно.
Мне вот удобно держать все говны относящиеся к одному сайту в одной ветке ФС, что-бы их можно было легко отделить от всего прочего и перенести куда-то

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

dehydrated тоже работает на wheezy (наверное)

Иногда мне кажется, что при первом изменении в AMCE (а он все ещё в стадии драфта кажется!), все эти поделки могут отвалиться...

Вопрос ещё: можно в LE, получить сертификат на несколько доменных имен, но вот в таком виде:

  • cert1: company.com me.company.com
  • cert2: company.com you.company.com

То есть, одно и тоже доменное имя, будет использоваться в разных сертификатах. Дадут?

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 2)
Ответ на: комментарий от DALDON

То есть, одно и тоже доменное имя, будет использоваться в разных сертификатах. Дадут?

Дадут. Хотя не уверен это фича, а не баг. Не хватает возможности получить все сертификаты выданные для определённого домена, а то мало-ли кому они повыписывают сертификаты на мой vasyan.tld
LE меня сейчас запугивает письмами о просрочке сертификатов для боевых доменов. А всё потому-что как-то раз при переезде я решил что некоторые сертификаты будет проще создать по новой, а не переносить старый.

MrClon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.