înregistrare Logare
Puncte:0
avatar Server

Utilizarea acme.sh pentru instalarea și reînnoirea unui singur certificat multidomeniu

drapel in
Peregring-lk 
#!/bin/bash

sudo /.../my-letsencrypt-clone/letsencrypt-auto certonly -v -t --webroot \
   -w /var/www/web1/ -d www.domeniu1.com -d domeniu1.com -d subdomeniu.domeniu1.com \
   -w /var/www/web2/ -d web2.com \
   -w /var/www/web3/ -d www.web3.com -d web3.com

# Câteva comenzi suplimentare pentru a muta certificatul reînnoit (în `/etc/letsencrypt/live/`) în 
# /etc/ssl/private/mycertfolder

sudo service apache2 reporniți
sudo service postfix restart
sudo doveadm reload

Acest script de mai sus este ceea ce am folosit în ultimii ani pentru a-mi reînnoi certificatul unic multidomeniu, dar acum, din cauza problemelor de depreciere (serverul meu este vechi și actualizarea nu este o opțiune) trebuie să folosesc acme.sh fără a-mi schimba configurația actuală. Am niște îndoieli totuși. Cea mai bună presupunere pentru emiterea și instalarea certificatului cu acme.sh sunt următoarele două comenzi (așteptându-ne că, fără a face nimic altceva, cronjob-ul acme.sh cert-renewal va face ceea ce trebuie după aceea):

$ acme.sh --issue \
-d www.domeniu1.com -d domeniu1.com -d subdomeniu.domeniu1.com -w /var/www/web1/ \
-d web2.com -w /var/www/web2/ \
-d www.web3.com -d web3.com -w /var/www/web3/

$ acme.sh --install-cert \
-d www.domeniu1.com -d domeniu1.com -d subdomeniu.domeniu1.com \
-d web2.com \
-d www.web3.com -d web3.com \
--cert-file /etc/ssl/private/mycertfolder/cert.pem \
--key-file /etc/ssl/private/mycertfolder/key.pem \
--fullchain-file /etc/ssl/private/mycertfolder/fullchain.pem \
--reloadcmd "repornire serviciu apache2; repornire postfix serviciu; reîncărcare doveadm"

Dar nu sunt sigur din documentație dacă acea comandă va emite un singur certificat pentru toate domeniile sau trei certificate, câte unul pentru fiecare -w opțiune. Nici în documente nu este specificat strict, dar cred că fiecare -w specifică metoda de validare (webroot) pentru toate -ds care apare înaintea ei și după ultimul -w, similar cu modul în care funcționează letsencrypt.

Cea de-a doua mea comandă a fost scrisă sub PRESUMIA că prima comandă va emite un singur certificat pentru toate domeniile, dar nu sunt sigur dacă trebuie să scriu din nou toate domeniile dacă este implicat un singur certificat sau dacă există sunt mai multe lucruri de luat în considerare.

71
0 + 2
Ginnungagap avatar
drapel gu
Ginnungagap
Utilizați doar API-ul de staging de la Let's Encrypt și testați-l singur. Rulați o configurație exotică pe o infrastructură învechită, cine mai bine să testeze că funcționează așa cum vă așteptați?
0
Răspunde
drapel in
Peregring-lk
@Ginnungagap Ok, mulțumesc, voi încerca.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.