LINUX.ORG.RU
ФорумAdmin

Certbot, Letsencrypt, round robin DNS

 , ,


0

2

Как выписывать/обновлять сертификаты по одному имени на несколько серверов, когда они в DNS round robin?
Думаю сделать так:

- Создать сервер чисто с минимальным конфигом nginx+certbot и проксировать туда HTTP(S)/ACME с фронтов.
- На фронтах нет certbot, там только nginx, в нем статический путь к SSL KEY/CRT.
- Вставить hook в certbot, чтоб при успешной выписке сертификата пушил его на фронты и релоадил Nginx там.
- положить certbot renew в Crontab на nginx+certbot сервер.

Есть другие варианты или готовые решения?

★★★★★

Ответ на: комментарий от anonymous

А если dns не имеет api?
Если имеет, то все равно выписывать сертификат в одном месте и пушить на все фронты.

Bers666 ★★★★★
() автор топика

Если бескостыльно, то DNS-challenge.

Если совсем никак, то вот работающий вариант:

  • Выделить условный мастер-узел, под http-challenge.
  • На остальных организовать проксирование /.well-known/acme-challenge на него.
  • После прохождения, конечно, синхронизировать сертификат.

Конечно, риски «неотказоустойчивости» придётся принять, или подкостылить минимизацию их.

NDfan
()

У меня работает почти так же, отдельная виртуалка исключительно для certbot. За исключением того что использую не HTTP(S)/ACME а dns-rfc2136. Получаю кучу сертов и потом раскидываю в зависимости от того какой и куда (разные сервера, разные серты, разные сервисы).

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin