Welcome! Log In Create A New Profile

Re: certbot

Forum List Message List New Topic Print View

Maxim Dounin

July 06, 2022 03:02PM

Hello!

On Wed, Jul 06, 2022 at 09:00:05AM +0300, Gena Makhomed wrote:

> On 06.07.2022 0:52, Maxim Dounin wrote:
>
> >>> Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> >>> при обновлении модифицирует конфиги nginx'а (а потом возвращает
> >>> всё "как было"). Это может заканчиваться, скажем так, неожиданно.
> >>> Лично я рекомендую для выпуска сертификатов использовать
> >>> Dehydrated и необходимые дополнения в конфиг прописывать руками.
>
> >> certbot так криво себя ведет только в дефолтовой конфигурации.
>
> > Этого достаточно, чтобы им не пользоваться. И уж тем более не
> > рекомендовать другим, ибо они с вероятностью, близкой к 100%,
> > будут использовать его именно в конфигурации по умолчанию.
>
> Если быть уж совсем точным, то при установке пакета certbot
> пакет python3-certbot-nginx не устанавливается. python3-certbot-nginx -
> это Plugin for certbot that allows for automatic configuration of nginx.
>
> Поэтому при выполнении команды certbot run -d example.com он выдает ошибку:
>
> Certbot doesn't know how to automatically configure the web server on
> this system. However, it can still get a certificate for you. Please run
> "certbot certonly" to do so. You'll need to manually configure your web
> server to use the resulting certificate.
>
> Поэтому единственным рабочим вариантом получения сертификата
> для nginx является только команда certbot certonly -d example.com
> которая никаких автоматических изменений в конфиги nginx не вносит.
>
> certbot - это очень хорошо продуманный и качественно сделанный софт.

Я наблюдал Certbot с Apache, где все приседания с изменением
конфигурации на работающем сервере используются по умолчанию.
Точнее, помогал разобраться, почему оно не работает. Мне хватило,
чтобы не считать Certbot "хорошо продуманным и качественно
сделанным".

> > Тем более, что есть Dehydrated, который подобным идиотизмом по
> > умолчанию не страдает, да и представляет из себя вполне читаемый
> > bash-скрипт без дополнительных зависимостей.
>
> этот bash-скрипт имеет серьезные проблемы даже с парсингом json:
>
> https://www.opennet.ru/opennews/art.shtml?num=53279
>
> тем более, что разработчик dehydrated - это всего лишь студент:
>
> https://www.opennet.ru/opennews/art.shtml?num=52294

Каждый выбирает приоритеты для себя. Кому-то не нравится парсинг
json'а, возвращаемого конкретным сервисом, с помощью регулярных
выражений, чтобы не тащить зависимости, а кому-то - переписывание
конфига работающего сервера (с помощью тех же регулярных
выражений, если продраться через зависимости) с непредсказуемыми
последствиями.

Я могу рекомендовать Dehydrated, он сделан хорошо и просто
работает. И не могу рекомендовать Certbot, там проблема дизайна:
конфиг сервера нельзя менять, не понимая всех аспектов работы
этого конфига (и тем более нельзя менять в фоне и не говоря об
этом пользователю), а авторы Certbot'а этого явного не понимают.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org

Reply Quote

RSS

Subject	Author	Posted
400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 05, 2022 05:49AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Илья Шипицин	July 05, 2022 06:34AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 05, 2022 06:57AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Илья Шипицин	July 05, 2022 07:16AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 05, 2022 02:12PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Maxim Dounin	July 05, 2022 08:56AM
certbot	Gena Makhomed	July 05, 2022 03:10PM
Re: certbot	Maxim Dounin	July 05, 2022 05:54PM
Re: certbot	Gena Makhomed	July 06, 2022 02:02AM
Re: certbot	Maxim Dounin	July 06, 2022 03:02PM
Re: certbot	Gena Makhomed	July 06, 2022 04:40PM
Re: certbot	Maxim Dounin	July 06, 2022 06:20PM
Re: certbot	Evgeniy Berdnikov	July 07, 2022 05:20AM
Re: certbot	Илья Шипицин	July 07, 2022 05:42AM
Re: certbot	Evgeniy Berdnikov	July 07, 2022 06:16AM
Re: certbot	Илья Шипицин	July 07, 2022 06:40AM
Re: certbot	Dmitry Morozovsky	July 20, 2022 01:00PM
Re: certbot	Maxim Dounin	July 20, 2022 04:02PM
Re: certbot	Илья Шипицин	July 21, 2022 06:44AM
Re: certbot	Илья Шипицин	July 21, 2022 06:48AM
OCSP Must Staple	Gena Makhomed	July 21, 2022 07:06AM
Re: OCSP Must Staple	Илья Шипицин	July 21, 2022 07:14AM
Re: OCSP Must Staple	Maxim Dounin	July 21, 2022 09:30PM
Re: certbot	raven_kg@megaline.kg	July 06, 2022 02:10AM
Re: certbot	milov	July 06, 2022 04:49AM
Re: certbot	Илья Шипицин	July 06, 2022 07:46AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 05, 2022 03:40PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Maxim Dounin	July 05, 2022 07:06PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 05, 2022 07:20PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Maxim Dounin	July 05, 2022 09:54PM
long deprecated directives	Gena Makhomed	July 06, 2022 01:18AM
Re: long deprecated directives	Maxim Konovalov	July 06, 2022 02:30AM
Re: long deprecated directives	Maxim Dounin	July 06, 2022 03:16PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 06, 2022 04:44AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Maxim Dounin	July 06, 2022 03:22PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 07, 2022 04:34AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Антон Горлов via nginx-ru	July 07, 2022 04:46AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 07, 2022 04:57AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Maxim Dounin	July 07, 2022 03:16PM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	milov	July 09, 2022 04:46AM
Re: 400 Bad Request The plain HTTP request was sent to HTTPS port	Maxim Dounin	July 10, 2022 04:42AM
SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking	Gena Makhomed	July 11, 2022 02:08PM
Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking	Maxim Dounin	July 11, 2022 09:26PM
Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking	Sergey Kandaurov	July 12, 2022 07:54AM
Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking	Maxim Dounin	July 12, 2022 10:00AM
[error] access forbidden by rule	Gena Makhomed	July 12, 2022 09:48AM
Re: [error] access forbidden by rule	Илья Шипицин	July 12, 2022 10:42AM
Re: [error] access forbidden by rule	Maxim Dounin	July 12, 2022 10:52AM
Re: [error] access forbidden by rule	Gena Makhomed	July 12, 2022 12:56PM
Re: [error] access forbidden by rule	Илья Шипицин	July 12, 2022 01:14PM
[warn] a client request body is buffered to a temporary file	Gena Makhomed	July 12, 2022 03:16PM
Re: [warn] a client request body is buffered to a temporary file	Илья Шипицин	July 12, 2022 03:28PM
Re: [warn] a client request body is buffered to a temporary file	Gena Makhomed	July 12, 2022 05:02PM
Re: [warn] a client request body is buffered to a temporary file	Илья Шипицин	July 12, 2022 11:44PM
Re: [error] access forbidden by rule	Илья Шипицин	July 12, 2022 01:18PM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 139

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018