Регистрация Войти
Рейтинг:0
avatar Server

Использование acme.sh для установки и обновления одного мультидоменного сертификата

флаг in
Peregring-lk 
#!/бин/баш

sudo /.../my-letsencrypt-clone/letsencrypt-auto certonly -v -t --webroot \
   -w /var/www/web1/ -d www.domain1.com -d domain1.com -d subdomain.domain1.com \
   -w /var/www/web2/ -d web2.com \
   -w /var/www/web3/ -d www.web3.com -d web3.com

# Пара дополнительных команд для перемещения обновленного сертификата (в `/etc/letsencrypt/live/`) в 
# /etc/ssl/private/mycertfolder

перезагрузка службы sudo apache2
перезапуск постфиксной службы sudo
sudo doveadm перезагрузить

Этот сценарий выше — это то, что я использовал в течение последних нескольких лет для обновления своего единственного многодоменного сертификата, но теперь из-за проблем с устаревшим (мой сервер устарел, и его обновление не вариант) мне нужно использовать акме.ш без изменения моих текущих настроек. Хотя у меня есть некоторые сомнения. Мое лучшее предположение для выпуска и установки сертификата с акме.ш это следующая пара команд (ожидается, что, ничего не делая, cronjob acme.sh cert-renewal сделает все правильно после этого):

$ acme.sh --issue \
-d www.domain1.com -d domain1.com -d subdomain.domain1.com -w /var/www/web1/ \
-d web2.com -w /var/www/web2/ \
-d www.web3.com -d web3.com -w /var/www/web3/

$ acme.sh --install-cert \
-d www.domain1.com -d domain1.com -d subdomain.domain1.com \
-d web2.com \
-d www.web3.com -d web3.com \
--cert-file /etc/ssl/private/mycertfolder/cert.pem \
--key-file /etc/ssl/private/mycertfolder/key.pem \
--fullchain-file /etc/ssl/private/mycertfolder/fullchain.pem \
--reloadcmd "перезапуск службы apache2; перезапуск службы postfix; перезагрузка doveadm"

Но я не уверен в документации, будет ли эта команда выдавать один сертификат для всех доменов или три сертификата, по одному для каждого. -w вариант. Это также не указано строго в документах, но я думаю, что каждый -w указывает метод проверки (webroot) для всех s, который появляется перед ним и после последнего -w, аналогично тому, как работает letsencrypt.

Моя вторая команда была написана в соответствии с ПРЕДПОЛОЖЕНИЕМ, что первая команда выдаст один сертификат для всех доменов, но я не уверен, нужно ли мне на самом деле снова писать все домены, если задействован только один сертификат или если есть есть еще вещи, которые нужно учитывать.

71
0 + 2
Ginnungagap avatar
флаг gu
Ginnungagap
Просто используйте промежуточный API от Let's Encrypt и протестируйте его самостоятельно. Вы запускаете экзотическую установку на устаревшей инфраструктуре, кто может лучше проверить, работает ли она так, как вы ожидаете?
0
Ответить
флаг in
Peregring-lk
@Ginnungagap Хорошо, спасибо, я попробую.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.