Let's Encrypt не обновляется сам key через acme.sh

0

1

Пытаюсь обновить таким образом:

# bash /root/.acme.sh/acme.sh --cron --force --home "/root/.acme.sh"

в ответ:

[Чт май 30 14:31:00 BST 2019] ===Starting cron===
[Чт май 30 14:31:00 BST 2019] Renew: 'mail.server.com'
[Чт май 30 14:31:01 BST 2019] Standalone mode.
[Чт май 30 14:31:01 BST 2019] Single domain='mail.server.com'
[Чт май 30 14:31:01 BST 2019] Getting domain auth token for each domain
[Чт май 30 14:31:01 BST 2019] Getting webroot for domain='mail.server.com'
[Чт май 30 14:31:01 BST 2019] Getting new-authz for domain='mail.server.com'
[Чт май 30 14:31:03 BST 2019] The new-authz request is ok.
[Чт май 30 14:31:03 BST 2019] mail.server.com is already verified, skip http-01.
[Чт май 30 14:31:03 BST 2019] Verify finished, start to sign.
[Чт май 30 14:31:05 BST 2019] Cert success.
-----BEGIN CERTIFICATE-----
MIIFWzCCBEOgAwIBAgISA6OyguZidLv3n2EbRHhqLKnLMA0GCSqGSIb3DQEBCw
.........................
.........................
-----END CERTIFICATE-----
[Чт май 30 14:31:05 BST 2019] Your cert is in  /root/.acme.sh/mail.server.com/mail.server.com.cer 
[Чт май 30 14:31:05 BST 2019] Your cert key is in  /root/.acme.sh/mail.server.com/mail.server.com.key 
[Чт май 30 14:31:06 BST 2019] The intermediate CA cert is in  /root/.acme.sh/mail.server.com/ca.cer 
[Чт май 30 14:31:06 BST 2019] And the full chain certs is there:  /root/.acme.sh/mail.server.com/fullchain.cer 
[Чт май 30 14:31:06 BST 2019] 
===End cron===

Но в самой папке /root/.acme.sh/mail.server.com все файлы новые, кроме файла ключа:

-rw-r--r--. 1 root root 1647 май 30 14:31 ca.cer
-rw-r--r--. 1 root root 3566 май 30 14:31 fullchain.cer
-rw-r--r--. 1 root root 1919 май 30 14:31 mail.server.com.cer
-rw-r--r--. 1 root root  515 май 30 14:31 mail.server.com.conf
-rw-r--r--. 1 root root  985 май 30 14:31 mail.server.com.csr
-rw-r--r--. 1 root root  212 май 30 14:31 mail.server.com.csr.conf
-rw-r--r--. 1 root root 1679 фев  6 08:41 mail.server.com.key

И при проверке пишет сертификат expired:

% openssl s_client -connect mail.server.com:465
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = mail.server.com
verify error:num=10:certificate has expired
notAfter=May  4 19:14:04 2019 GMT
verify return:1
depth=0 CN = mail.server.com
notAfter=May  4 19:14:04 2019 GMT
verify return:1

Ссылка

←	Можно ли в xpath получить атрибут тега без названия самого атрибута в выдаче?

Не проходит пинг

→

1. Обновляется сертификат, а не ключ.

2. Почтовик с новым сертификатом перезапускали?

funky
(31.05.19 10:05:52 MSK)

Ответ на: комментарий от funky 31.05.19 10:05:52 MSK

да, Exim перезапускал

gigantischer
(31.05.19 10:07:04 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 10:07:04 MSK

sudo openssl x509 -in /root/.acme.sh/mail.server.com/mail.server.com.cer -noout -text|head

funky
(31.05.19 10:17:16 MSK)

Ответ на: комментарий от funky 31.05.19 10:17:16 MSK

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:c7:a1:3b:32:61:a5:ce:67:b7:66:ce:81:a0:92:5f:a9:b1
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
        Validity
            Not Before: May 30 12:36:37 2019 GMT
            Not After : Aug 28 12:36:37 2019 GMT

gigantischer
(31.05.19 10:22:15 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 10:22:15 MSK

в exim.conf:

tls_certificate = /etc/letsencrypt/live/mail.server.com/fullchain.pem
tls_privatekey = /etc/letsencrypt/live/mail.server.com/privkey.pem

# ls -l /etc/letsencrypt/live/mail.server.com/fullchain.pem
lrwxrwxrwx. 1 root root 46 фев  3 20:14 /etc/letsencrypt/live/mail.server.com/fullchain.pem -> ../../archive/mail.server.com/fullchain2.pem


# ls -l /etc/letsencrypt/live/mail.server.com/privkey.pem
lrwxrwxrwx. 1 root root 44 фев  3 20:14 /etc/letsencrypt/live/mail.server.com/privkey.pem -> ../../archive/mail.server.com/privkey2.pem

но privkey2.pem и fullchain2.pem - старые файлы за февраль, а не за май:

# ls -l privkey2.pem 
-rw-r--r--. 1 root exim 1708 фев  3 20:14 privkey2.pem

# ls -l fullchain2.pem 
-rw-r--r--. 1 root root 3562 фев  3 20:14 fullchain2.pem

gigantischer
(31.05.19 10:28:21 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 10:28:21 MSK

ересь кака-то..

в этом посте у тебя /etc/letsencrypt/live/mail.server.com, в ОП - /root/.acme.sh/mail.server.com

там что, симлинки?

aol 👍👍
(31.05.19 10:31:43 MSK)

Ответ на: комментарий от aol 31.05.19 10:31:43 MSK

да, только почему-то они автоматически не создаются на новый сертификат, вернее создаются но указывают на старый...

gigantischer
(31.05.19 10:34:12 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 10:34:12 MSK

незнай.. у меня certbot - полет норм.

про acme.sh сказать не могу, не тыкал

aol 👍👍
(31.05.19 10:36:29 MSK)

Ответ на: комментарий от aol 31.05.19 10:36:29 MSK

пересоздал вручную симлинки, пишет тоже сертификат expired, но дата уже 28 августа, странно:


% openssl s_client -connect mail.server.com:465
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = mail.server.com
verify error:num=10:certificate has expired
notAfter=Aug 28 17:39:28 2018 GMT
verify return:1
depth=0 CN = mail.server.com
notAfter=Aug 28 17:39:28 2018 GMT
verify return:1

gigantischer
(31.05.19 10:42:07 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 10:42:07 MSK

что с часами на «сервере»? а на клиенте?

aol 👍👍
(31.05.19 10:42:51 MSK)

Ответ на: комментарий от aol 31.05.19 10:42:51 MSK

с часами все в порядке и там и там.

gigantischer
(31.05.19 10:44:13 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 10:44:13 MSK

В правильном сертификате у Вас:

            Not Before: May 30 12:36:37 2019 GMT
            Not After : Aug 28 12:36:37 2019 GMT

Так что разбирайтесь с симлинками. Можете, в виде теста, прописать:

tls_certificate = /root/.acme.sh/mail.server.com/mail.server.com.cer
tls_privatekey = /root/.acme.sh/mail.server.com/mail.server.com.key

funky
(31.05.19 11:01:43 MSK)
Последнее исправление: funky 31.05.19 11:07:31 MSK (всего исправлений: 1)

Ответ на: комментарий от funky 31.05.19 11:01:43 MSK

заработало после того как я вручную скопировал сертификат и ключ из /root/.acme каталога, а так прав не хватало...

gigantischer
(31.05.19 11:38:11 MSK) автор топика

Ссылка

LE обновляет сертификат, настройкой своего сервиса (почтового или любого другого), чтобы он брал новый сертификат вы должны заниматься сами.

~~zgen~~
(31.05.19 11:45:19 MSK)

Ответ на: комментарий от zgen 31.05.19 11:45:19 MSK

т.е. копировать сертификат надо вручную или по крону после обновления сертификата?

gigantischer
(31.05.19 12:26:44 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 12:26:44 MSK

Не понятно, что вам не понятно в комментарии zgen ?

У вас сломался замок в двери, вы вызвали «мастера» который вам поставил новый замок и выдал ключи. Что вы будете делать с этими ключами? Положим на полку или повесим на «брелок» ?
LE - это «мастер». Он выдал вам ключи. А что делать с ними решайте сами.

anc ☕☕☕☕☕
(31.05.19 13:58:25 MSK)
Последнее исправление: anc 31.05.19 14:00:59 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от gigantischer 31.05.19 12:26:44 MSK

можете копировать ключи, можете перенастроить свой сервис, чтобы он искал ключи там где LE их положил.

~~zgen~~
(31.05.19 15:15:31 MSK)

Ответ на: комментарий от zgen 31.05.19 15:15:31 MSK

чтобы он искал ключи там где LE их положил.

На мой взгляд - самый лучший вариант, тем более, что certbot файлы не переименовывает.

funky
(31.05.19 15:42:57 MSK)

Ответ на: комментарий от funky 31.05.19 15:42:57 MSK

да, но там права на папку /root/.acme 700:

drwx------.  6 root   root       181 май 30 13:50 .acme.sh

gigantischer
(31.05.19 16:47:19 MSK) автор топика

Ответ на: комментарий от gigantischer 31.05.19 16:47:19 MSK

ну так настрой как тебе надо, другую папку или другие права, в чем проблема?

Если ты разбираешься в том, как работает сервис, который ты обслуживаешь - ты растешь над собой.

~~zgen~~
(31.05.19 17:09:34 MSK)

Ответ на: комментарий от zgen 31.05.19 17:09:34 MSK

ок, что-нибудь придумаю step-by-step, спс за мотивацию.

gigantischer
(31.05.19 17:45:32 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Можно ли в xpath получить атрибут тега без названия самого атрибута в выдаче?

Admin

Не проходит пинг

→

Похожие темы