SSL Let's Encrypt

  • Hi,


    dafür hat der Certbox die praktische Funktion "renew"

    Code
    1. certbot renew

    Das einfach täglich als Cronjob laufen lassen.

    Der Certbot hat sich gespeichert welche Zertifikate er für dich ausgestellt hat. Beim renew schaut er, wie lange die noch laufen. Und wenn eines kurz vor dem Ablaufen ist, erneuert er das von selbst.

  • Wobei es sinnvoll wäre, den Apache, Nginx, ... nach dem Erneuern neu zu laden oder neu zu starten - sonst liefert der das abgelaufene Zertifikat weiter aus, obwohl das neue Zertifikat schon vorhanden ist.

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • Wobei es sinnvoll wäre, den Apache, Nginx, ... nach dem Erneuern neu zu laden oder neu zu starten - sonst liefert der das abgelaufene Zertifikat weiter aus, obwohl das neue Zertifikat schon vorhanden ist.

    Guter Einwand, das lässt sich mittels

    Code
    1. --post-hook "service apache2 reload"

    machen

  • Und jetzt kommt der Witz: ich mach das nie. Liegt daran, dass Certbot schon einen eigenen Cronjob für sowas mitbringt


    Der liegt bei mir unter /etc/cron.d/certbot ;)

    VPS 1000 G8 Plus | VPS 200 G8 BF | VPS 200 G8 | Odroid XU4Q


    Wer im Netz Anstand und Respekt verliert, ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Und jetzt kommt der Witz: ich mach das nie. Liegt daran, dass Certbot schon einen eigenen Cronjob für sowas mitbringt


    Der liegt bei mir unter /etc/cron.d/certbot


    also brauch ich nichts zu tun, ist alles schon eingerichtet.


    Gruß Sammy

  • Ja danke. Wie kann ich GNOME Schedule unter Ubunto installieren? Ist irgendwie nicht erreichbar.


    Aua. Was willst du mit einem derartigen grafischen Interface für einen vServer? Also Server und GUI's (gut, mit Aussnahme von Web-GUIs) sind zwei unvereinbare Dinge. O.o


    Cron richtet man per Kommandozeile ein. Solltest du dich damit nicht auskennen, empfehle ich diesen Artikel hier.

    VPS 1000 G8 Plus | VPS 200 G8 BF | VPS 200 G8 | Odroid XU4Q


    Wer im Netz Anstand und Respekt verliert, ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Guter Einwand, das lässt sich mittels

    Code
    1. --post-hook "service apache2 reload"

    machen

    --renew-hook geht auch, steht aber nicht in der manpage oder im Beschreibungstext von cerbot --help renew oder gar auf https://certbot.eff.org/docs/u…tml#renewing-certificates.


    Ich habe mir jetzt ein Script angelegt, in dem alle Services, die ich (eventuell erst nach Config-Test) neu starten oder neu laden möchte und, die das Zertifikat verwenden, entsprechend aufgerufen werden, wobei mir das Script zusätzlich mittels „logger“ einen Hinweis ins Syslog schreibt.


    Das Ganze wurde im Cronfile /etc/cron.d/certbot einfach ergänzt, sodass die Zeile jetzt lautet wie folgt:

    0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "/etc/scripts/certbot-reload-after-renewal"


    Zur Info: --pre-hook und korrespondierend dazu --post-hook und --deploy-hook sind dokumentiert.


    Im Übrigen gibt es auch ein Verzeichnis /etc/letsencrypt/renewal-hooks, wo solche Aufgaben anscheinend definiert werden können.

    https://github.com/certbot/certbot/issues/5935


    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░