certbot: Best practices renewal?

dettus

Bicycle User
Ich bin ENDLICH vernuenftig geworden, und habe mir fuer den httpd auf https://magneticscrolls.net ein certbot-Zertifikat geholt.
(Ey! Das war ja mega-easy! Warum hab ich das noch nicht frueher gemacht? ;) )


Jetzt weiss ich, dass das in 90 Tagen ablaeuft.
Weil ich einer von der GANZ FAULEN Sorte bin, habe ich jetzt nicht die Lust in drei Monaten an ein

Code:
doas certbot renew
zu denken...

Wie macht ihr das?
 
Ebenfalls Cronjob, bzw. systemd-timer :)
Man kann das ja beliebig oft starten, er erneuert eh kein Zertifikat was zu neu ist. Läuft bei mir also automatisch jede Woche einmal und bei nem Neustart. Letzteres ist Sinnvoll da viele Programme neu gestartet oder zumindest "reloaded" werden müssen, wenn sie ein neues Zertifikat bekommen bzw. damit sie das neue Zertifikat verwenden. Und naja, bei nem Neustart passiert das sowieso ;). Cronjob geht dann aber nicht das läuft zu spät, muss man ins init System bekommen.
 
Okay, also ihr meint, das reicht?

Code:
# cat /etc/daily.local 
#!/bin/sh

certbot renew
if [ $? -eq 0 ]
then
    rcctl restart httpd
fi
 
Auch wenn ich jetzt nicht prüfen kann ob das hinsichtlich OpenBSD Syntax korrekt ist ja. httpd sollte auch ein reload bzw. graceful restart genügen.
 
Ein reload reicht. Dann solltest du keinen Connections droppen und wenn's ein Problem gibt die Site nicht down sein.


Nebenbei bemerkt, nachdem du certbot erwähnst. Prima wenn du glücklich bist, aber nur zur Vollständigkeit: Du weißt, dass OpenBSD auch selbst mit einem Tool dafür kommt (acme-client)? Damit kannst du quasi noch fauler sein und die Manual hat sogar einen Beispiel-Cronjob. :)
 
Nein, wusste ich noch nicht.
Ich habe beim Googeln einige Anleitungen gefunden, aber ich dachte dass acme-client immer eine aeltere Version von dem certbot war....
(Ich dummerle... :D :D )

Danke fuer den Hinweis!
 
Nein, wusste ich noch nicht.
Ich habe beim Googeln einige Anleitungen gefunden, aber ich dachte dass acme-client immer eine aeltere Version von dem certbot war....
(Ich dummerle... :D :D )

Danke fuer den Hinweis!

Ich nutze tatsächlich auch den acme-client, funktioniert wunderbar und kann auch einfach per cron oä aufgerufen werden.
 
Okay, also ihr meint, das reicht?

Code:
# cat /etc/daily.local
#!/bin/sh

certbot renew
if [ $? -eq 0 ]
then
    rcctl restart httpd
fi
Das wird meiner Meinung nach nicht richtig funktionieren. Weil auch wenn er das Zertifikat neu erstellt, wird der Exit-Code 0 sein. Daher wird dein Webserver nie neu gestartet. Helfen sollte das hier:

Code:
certbot renew --deploy-hook "rcctl restart httpd"
Ich persönlich hatte mit "certbot" keine guten Erfahrungen und verwende sein Jahren Lego[1]. Auch in Kombination mit DNS challenge. Hat den Vorteil, dass man nichts an der Webserver Konfiguration anpassen muss, da per DNS Record validiert wird. Vorteil Zwei: Wildcard Zertifikate sind so möglich.

[1]: https://github.com/go-acme/lego
 
Bei OPNsense ist default auch die tägliche Prüfung Vorlage für den cronjob.

DNS challenge. Hat den Vorteil, dass man nichts an der Webserver Konfiguration anpassen muss, da per DNS Record validiert wird. Vorteil Zwei: Wildcard Zertifikate sind so möglich.
Genau :)
 
Kurz zur Info, ich nutze unter OpenBSD den mitgelieferten acme-client. Damit entfällt die Abhänigkeit zum certbot. In der manpage ist auch ein crontab Beispiel zum Aktualisieren und reload vom httpd zu finden.
 
Ich nutze certbot sowohl für http als auch für dns challenges und hatte mit keinem bisher Probleme. Aber lego sieht interessant aus, danke für den Tip muss ich mir mal ansehen.
 
Zurück
Oben