Question Renouveler des domaines en utilisant certbot et en utilisant le challenge DNS


J'ai créé plusieurs certificats SSL pour plusieurs domaines à l'aide de la méthode autonome. Je ne suis intéressé que par les certificats, sans intégration de serveur.

Ils sont maintenant pour le renouvellement. Alors j'ai couru:

certbot -d example.com --manual --preferred-challenges dns certonly

Et suivi les instructions pour chaque domaine (en ajoutant l'entrée DNS requise pour chacun). De cette façon, je n'ai pas eu à arrêter le serveur et à obtenir mes nouveaux certificats.

Ma compréhension (vague) de tout cela est qu’il n’existe actuellement aucun moyen de renouveler automatiquement les certificats à l’aide du défi DNS. Ou peut-être que vous ne pouvez pas renouveler automatiquement les certificats pour la méthode "manuelle"?

Quoi qu'il en soit, j'ai écrit ce script:

#!/bin/bash

for i in renewal/*;do
  n=${i:8:-5};
  echo $n;
  # echo "\n" | certbot --text --agree-tos -d $n --manual --preferred-challenges dns --expand --renew-by-default  --manual-public-ip-logging-ok certonly;
done

À ce stade, dans le renewal répertoire TOUS les domaines ont:

authentifiant = manuel

Et:

pref_challs = dns-01

Des questions:

  • Maintenant ... quand je lance "certbot renew", tous les renouvelleront-ils automatiquement sans utiliser mon script?

  • Comment créer un nouveau certificat en utilisant le challenge DNS pour commencer?


5
2017-10-21 23:43


origine




Réponses:


Quand je lance "certbot renew", est-ce qu'il va tous les renouveler automatiquement sans utiliser mon script?

TL; DR: Oui, ça devrait.

Laissez-nous regarder le documentation de certbot:

À partir de la version 0.10.0, Certbot prend en charge une action de renouvellement pour vérifier l'expiration imminente de tous les certificats installés et tenter de les renouveler. La forme la plus simple est simplement

certbot renouveler

Jusqu'ici tout va bien.

Cette commande tente de renouveler les certificats précédemment obtenus expirant dans moins de 30 jours.

Ceci devrait répondre à votre question. Attention: je ne sais pas à quel point certbot peut gérer des situations où vous déplacez les certificats vers différents répertoires.

Plus tard dans le même paragraphe:

Le même plugin et les mêmes options que ceux utilisés au moment de la création du certificat seront utilisés pour la tentative de renouvellement, à moins que vous ne spécifiez d'autres plugins ou options. contrairement à certonly, renew agit sur plusieurs certificats et prend toujours en compte le fait que chacun d'entre eux approche de l'expiration.

Donc oui; certbot devrait renouveler tous vos certificats sans l'aide de votre script.

Comment créer un nouveau certificat en utilisant le challenge DNS pour commencer?

Quel est le problème avec la commande que vous avez postée au début de votre post? certbot -d example.com --manual --preferred-challenges dns certonly va acquérir un certificat pour example.com en utilisant le défi DNS.

Les étapes pour créer un certificat sont les suivantes:

  • Exécuter le certbot commande que vous avez posté
  • Attendez que la commande vous montre un enregistrement DNS TXT
  • Créer cet enregistrement TXT
  • Continuer le certbot commander
  • Obtenir un certificat pour le domaine spécifié
  • Supprimez l'enregistrement TXT (car vous n'en avez besoin que pour la création et un nouveau pour le renouvellement)

Si vous souhaitez automatiser ce processus complet, vous voudrez peut-être jeter un coup d'œil à un outil comme lego qui soutient un couple de Fournisseurs DNS.


2
2017-10-22 06:50



Fantastique, vous saurez si cela fonctionne dans quelques mois! - Merc
Cette réponse est incorrecte. certbot renew ne supporte pas la méthode manuelle sans script. - cdhowie