SSL Let's Encrypt

  • Hi,


    dafür hat der Certbox die praktische Funktion "renew"

    Code
    certbot renew

    Das einfach täglich als Cronjob laufen lassen.

    Der Certbot hat sich gespeichert welche Zertifikate er für dich ausgestellt hat. Beim renew schaut er, wie lange die noch laufen. Und wenn eines kurz vor dem Ablaufen ist, erneuert er das von selbst.

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Wobei es sinnvoll wäre, den Apache, Nginx, ... nach dem Erneuern neu zu laden oder neu zu starten - sonst liefert der das abgelaufene Zertifikat weiter aus, obwohl das neue Zertifikat schon vorhanden ist.

  • Wobei es sinnvoll wäre, den Apache, Nginx, ... nach dem Erneuern neu zu laden oder neu zu starten - sonst liefert der das abgelaufene Zertifikat weiter aus, obwohl das neue Zertifikat schon vorhanden ist.

    Guter Einwand, das lässt sich mittels

    Code
    --post-hook "service apache2 reload" 

    machen

    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Und jetzt kommt der Witz: ich mach das nie. Liegt daran, dass Certbot schon einen eigenen Cronjob für sowas mitbringt


    Der liegt bei mir unter /etc/cron.d/certbot ;)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Und jetzt kommt der Witz: ich mach das nie. Liegt daran, dass Certbot schon einen eigenen Cronjob für sowas mitbringt


    Der liegt bei mir unter /etc/cron.d/certbot


    also brauch ich nichts zu tun, ist alles schon eingerichtet.


    Gruß Sammy

  • Ja danke. Wie kann ich GNOME Schedule unter Ubunto installieren? Ist irgendwie nicht erreichbar.


    Aua. Was willst du mit einem derartigen grafischen Interface für einen vServer? Also Server und GUI's (gut, mit Aussnahme von Web-GUIs) sind zwei unvereinbare Dinge. O.o


    Cron richtet man per Kommandozeile ein. Solltest du dich damit nicht auskennen, empfehle ich diesen Artikel hier.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Guter Einwand, das lässt sich mittels

    Code
    --post-hook "service apache2 reload" 

    machen

    --renew-hook geht auch, steht aber nicht in der manpage oder im Beschreibungstext von cerbot --help renew oder gar auf https://certbot.eff.org/docs/u…tml#renewing-certificates.


    Ich habe mir jetzt ein Script angelegt, in dem alle Services, die ich (eventuell erst nach Config-Test) neu starten oder neu laden möchte und, die das Zertifikat verwenden, entsprechend aufgerufen werden, wobei mir das Script zusätzlich mittels „logger“ einen Hinweis ins Syslog schreibt.


    Das Ganze wurde im Cronfile /etc/cron.d/certbot einfach ergänzt, sodass die Zeile jetzt lautet wie folgt:

    0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "/etc/scripts/certbot-reload-after-renewal"


    Zur Info: --pre-hook und korrespondierend dazu --post-hook und --deploy-hook sind dokumentiert.


    Im Übrigen gibt es auch ein Verzeichnis /etc/letsencrypt/renewal-hooks, wo solche Aufgaben anscheinend definiert werden können.

    https://github.com/certbot/certbot/issues/5935