Hi,
Ich habe auf meinen V-Server Let's Encrypt mit Certbot eingerichtet. Es hat alles geklappt.
Nun ist ja das Zertifikat nur 90 Tage gültig. Wie kann ich das neu erstellen automatisieren?
Gruß Sammy
Hi,
Ich habe auf meinen V-Server Let's Encrypt mit Certbot eingerichtet. Es hat alles geklappt.
Nun ist ja das Zertifikat nur 90 Tage gültig. Wie kann ich das neu erstellen automatisieren?
Gruß Sammy
Hi,
dafür hat der Certbox die praktische Funktion "renew"
Das einfach täglich als Cronjob laufen lassen.
Der Certbot hat sich gespeichert welche Zertifikate er für dich ausgestellt hat. Beim renew schaut er, wie lange die noch laufen. Und wenn eines kurz vor dem Ablaufen ist, erneuert er das von selbst.
Wobei es sinnvoll wäre, den Apache, Nginx, ... nach dem Erneuern neu zu laden oder neu zu starten - sonst liefert der das abgelaufene Zertifikat weiter aus, obwohl das neue Zertifikat schon vorhanden ist.
Wobei es sinnvoll wäre, den Apache, Nginx, ... nach dem Erneuern neu zu laden oder neu zu starten - sonst liefert der das abgelaufene Zertifikat weiter aus, obwohl das neue Zertifikat schon vorhanden ist.
Guter Einwand, das lässt sich mittels
machen
Und jetzt kommt der Witz: ich mach das nie. Liegt daran, dass Certbot schon einen eigenen Cronjob für sowas mitbringt
Der liegt bei mir unter /etc/cron.d/certbot
Hi,
Ja danke. Wie kann ich GNOME Schedule unter Ubunto installieren? Ist irgendwie nicht erreichbar.
Gruß Sammy
Und jetzt kommt der Witz: ich mach das nie. Liegt daran, dass Certbot schon einen eigenen Cronjob für sowas mitbringt
Der liegt bei mir unter /etc/cron.d/certbot
also brauch ich nichts zu tun, ist alles schon eingerichtet.
Gruß Sammy
sudo apt-get install gnome-schedule
geht nicht
Ja danke. Wie kann ich GNOME Schedule unter Ubunto installieren? Ist irgendwie nicht erreichbar.
Aua. Was willst du mit einem derartigen grafischen Interface für einen vServer? Also Server und GUI's (gut, mit Aussnahme von Web-GUIs) sind zwei unvereinbare Dinge. O.o
Cron richtet man per Kommandozeile ein. Solltest du dich damit nicht auskennen, empfehle ich diesen Artikel hier.
--renew-hook geht auch, steht aber nicht in der manpage oder im Beschreibungstext von cerbot --help renew oder gar auf https://certbot.eff.org/docs/u…tml#renewing-certificates.
Ich habe mir jetzt ein Script angelegt, in dem alle Services, die ich (eventuell erst nach Config-Test) neu starten oder neu laden möchte und, die das Zertifikat verwenden, entsprechend aufgerufen werden, wobei mir das Script zusätzlich mittels „logger“ einen Hinweis ins Syslog schreibt.
Das Ganze wurde im Cronfile /etc/cron.d/certbot einfach ergänzt, sodass die Zeile jetzt lautet wie folgt:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "/etc/scripts/certbot-reload-after-renewal"
Zur Info: --pre-hook und korrespondierend dazu --post-hook und --deploy-hook sind dokumentiert.
Im Übrigen gibt es auch ein Verzeichnis /etc/letsencrypt/renewal-hooks, wo solche Aufgaben anscheinend definiert werden können.