Да, но они видимо хотели всё максимально упростить для пользователя, чтобы даже домохозяйка справилась. Поэтому и понапихали всяких возможностей типа автоматической правки конфигов разных вебсерверов.
А он предлагает какую-то дефолтную структуру папок в etc для ключей? Просто ключики иногда надо нескольким сервисам нужны, волохать их по куче папок не хочется.
Сами файлы: ${BASE_DIR}/certs/${FIRST_DOMAIN}/{cert,chain,fullchain,privkey}-${TIMESTAMP}.{pem,csr} TIMESTAMP — время создание этого файла, старые версии файлов не удаляются.
Симлинки на актуальные версии файлов: ${BASE_DIR}/certs/${FIRST_DOMAIN}/{cert,chain,fullchain,privkey}.{pem,csr}
В моём случае для каждого сайта используется своя BASE_DIR (/var/www/${FIRST_DOMAIN}/letsencrypt), в ней-же лежит конфиг dehydrated, файл со списком доменов (domain.tld и www.domain.tld в 99% случаев), ключ аккаунта используемый для работы с ACME сервером, лог скрипта который запускается кроном и обновляет сертификат, и директория well-known/acme-challenges с которой работает dehydrated и которую nginx впиливает в сайт директивой alias (нех всяким скриптам трогать настоящий webroot, в котором в общем-то что угодно может быть).
Можно использовать одну BASE_DIR на все сертификаты, но в моём случае это неудобно.
Можно указать скрипт который dehydrated будет выполнять после получения/обновления сертификата, ему передаются пути к сертификату и ключу, имя домена. Этот скрипт может класть сертификат куда тебе надо, релоадить nginx, постить приватный ключ в твиттер… в общем что накодишь то и будет. Но думаю что если тебе неудобно указывать ${BASE_DIR}/certs/${FIRST_DOMAIN}/cert.csr в конфигах всех твоих сервисов то можно просто создать симлинки на ${BASE_DIR}/certs/${FIRST_DOMAIN}/cert.csr в нужных местах. Или я неправильно понял твою проблему?
Да я вот думал, что серитификаты разумно хранить где-то в /etc/dehydrated/certs/...
Или я не прав и так делать не стоит? У меня помимо www еще nntp есть как минимум, и вроде как в /var/www не очень логично получается сертификаты пихать.
Да не вопрос, пиши в конфигах dehydrated BASEDIR='/etc/dehydrated'. По хорошему надо проверить, но похоже что никаких проблем с одной BASEDIR на несколько сертификатов быть не должно. Мне вот удобно держать все говны относящиеся к одному сайту в одной ветке ФС, что-бы их можно было легко отделить от всего прочего и перенести куда-то
То есть, одно и тоже доменное имя, будет использоваться в разных сертификатах. Дадут?
Дадут. Хотя не уверен это фича, а не баг. Не хватает возможности получить все сертификаты выданные для определённого домена, а то мало-ли кому они повыписывают сертификаты на мой vasyan.tld LE меня сейчас запугивает письмами о просрочке сертификатов для боевых доменов. А всё потому-что как-то раз при переезде я решил что некоторые сертификаты будет проще создать по новой, а не переносить старый.