Certbot обновление сертификата

1

2

Есть сервер, на котором несколько доменов с сертификатами LE, попросили обновить, делаю как обычно:

certbot certonly -d <domain>

С большинством доменов все ок, но один обновляться не желает, certbot пишет что все прошло успешно, файл сертификата перезаписывается, но в сертификате

Validity
Not Before: Mar 27 11:51:56 2023 GMT
Not After : Jun 25 11:51:57 2023 GMT

Следовательно завтра он протухнет.

Что делаю не так?

←	Настройка внешнего Docker Registry в GitLab

scp копировать папку с уд. сервера

→

Что делаю не так?

не прикладываешь логи работы команды и не пытаешься их раздобыть.

aol ★★★★★
(24.06.23 19:47:24 MSK)

Ответ на: комментарий от aol 24.06.23 19:47:24 MSK

В логах ничего необычного

certbot certonly -d <domain>
Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Nginx Web Server plugin (nginx)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 1
Plugins selected: Authenticator nginx, Installer None
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for <domain>
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/<domain>/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/<domain>/privkey.pem
   Your cert will expire on 2023-06-25. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Kolins ★★★
(24.06.23 20:42:55 MSK) автор топика
Последнее исправление: Kolins 24.06.23 20:43:23 MSK (всего исправлений: 1)

Ответ на: комментарий от Kolins 24.06.23 20:42:55 MSK

Saving debug log to /var/log/letsencrypt/letsencrypt.log

кэп.

и права и атрибуты на файлах сертификатов посмотри.

aol ★★★★★
(24.06.23 20:46:30 MSK)

Ответ на: комментарий от aol 24.06.23 20:46:30 MSK

С правами нормально, файл обновляется, логи смотрел там тоже ничего необычного

Kolins ★★★
(24.06.23 21:13:26 MSK) автор топика

certbot certonly -d <domain>

Вообще это команда на получение сертификата. Возможно, обновит тоже, но не факт

Для обновления

certbot renew

router ★★★★★
(24.06.23 22:18:55 MSK)

Ответ на: комментарий от router 24.06.23 22:18:55 MSK

renew обновляет сразу все, а я по одному делал:

Currently, the renew verb is capable of either renewing all installed certificates that are due to be renewed or renewing a single certificate specified by its name. If you would like to renew specific certificates by their domains, use the certonly command instead. The renew verb may provide other options for selecting certificates to renew in the future.

Kolins ★★★
(25.06.23 08:38:57 MSK) автор топика

Ответ на: комментарий от Kolins 25.06.23 08:38:57 MSK

renew проверяет все. а обновляет те, которым уже пора

не уверен, что связано, но у let’s encrypt есть какой-то лимит на количество запросов в единицу времени (50/неделю). возможно, ты его выбрал, если сертификатов реально много

https://letsencrypt.org/docs/rate-limits/

 - Congratulations! Your certificate and chain have been saved at:
[...]
   Your cert will expire on 2023-06-25. To obtain a new or tweaked

с таким не сталкивался. я бы ещё раз перечитал все логи и посмотрел на файлы и ссылки в /etc/letsencrypt/

У пользователя, от которого запускаешь certbot, точно есть права на эти файлы? selinux/apparmor?

Ну и т.к. терять уже все равно нечего (протухнет сегодня), запустил renew

router ★★★★★
(25.06.23 12:39:06 MSK)

certbot renew --allow-subset-of-names

Не?

s-warus ★★★
(25.06.23 12:42:16 MSK)

Ответ на: комментарий от router 25.06.23 12:39:06 MSK

дополню, что посмотреть закончился ли лимит LE можно на https://crt.sh - просто посмотрев кол-во выпущенных на домен сертификатов

keir ★★
(25.06.23 12:46:44 MSK)

Ответ на: комментарий от router 25.06.23 12:39:06 MSK

Лимит есть и я сейчас на него наткнулся, он прямо пишет «5 попыток за 168 часов, ждите...»

renew проверяет все. а обновляет те, которым уже пора

да, но мне надо было обновить только часть доменов на сервере, там их всего 4 у одного нормальные серт у трех LE и чтобы первый не сломать, решил все поименно обновить, а renew поименно не умеет, только все что есть, ну как я понял, эксперементировать не хотелось

Kolins ★★★
(25.06.23 15:05:28 MSK) автор топика

Ответ на: комментарий от s-warus 25.06.23 12:42:16 MSK

Ок, гляну что за ключ. Пока жду разбана...

Kolins ★★★
(25.06.23 15:06:27 MSK) автор топика

Ответ на: комментарий от Kolins 25.06.23 15:05:28 MSK

Лимит есть и я сейчас на него наткнулся, он прямо пишет «5 попыток за 168 часов, ждите…»

Есть мнение, что все же нужно было читать логи

На странице https://letsencrypt.org/docs/rate-limits/ лимит в 5 за неделю только для 2 случаев:

Duplicate Certificate (возможно, все же нужно было использовать renew, а не шаманство с новым запросом)
Failed Validation

router ★★★★★
(25.06.23 15:11:39 MSK)

Ответ на: комментарий от router 25.06.23 15:11:39 MSK

Логов там несколько 1000 строк с сертификатами, запросами и пр. сейчас еще разок гляну

Failed Validation

не, обновление сертификатов что с dry, что без проходит успешно но приходит старый серт. Завтра лимит пройдет, попробую обновить протухший серт.

Kolins ★★★
(25.06.23 16:50:31 MSK) автор топика

Ответ на: комментарий от Kolins 25.06.23 15:06:27 MSK

это команда обновления всех сертификатов на сервере, что требуют обновления.

s-warus ★★★
(25.06.23 18:05:21 MSK)

Ответ на: комментарий от s-warus 25.06.23 18:05:21 MSK

ок, в след. раз попробую все разом обновить

Kolins ★★★
(25.06.23 18:06:51 MSK) автор топика

Что ж , серт истек 2 дня назад, а при попытке обновления всеравно возвращается старый (уже просроченый).
Порылся в системе, нашел свежий серт в /etc/letsencrypt/archive, но симлинк остался на старый, но там вообще бордачелло надо будет засесть и поправить конфиги nginx и le

Kolins ★★★
(27.06.23 10:00:28 MSK) автор топика
Последнее исправление: Kolins 27.06.23 10:17:38 MSK (всего исправлений: 2)

Ответ на: комментарий от Kolins 27.06.23 10:00:28 MSK

нашел свежий серт в /etc/letsencrypt/archive

Семён Семёныч… :)

, но симлинк остался на старый,

права, или скорее атрибуты вроде immutable (lsattr)

router ★★★★★
(27.06.23 16:00:40 MSK)

Ответ на: комментарий от router 27.06.23 16:00:40 MSK

проверял, там вес норм и симлинк обновлялся, но в archive было несколько <domain>, <domain>-0001, <domain>-0002 и он складывал новые в одно место, а симлинк на другое делал, в общем бардак

Kolins ★★★
(27.06.23 16:02:55 MSK) автор топика
Последнее исправление: Kolins 27.06.23 16:03:06 MSK (всего исправлений: 1)

Ответ на: комментарий от Kolins 27.06.23 16:02:55 MSK

certbot renew --deploy-hook /path-to-script

anc ★★★★★
(27.06.23 17:03:33 MSK)

←	Настройка внешнего Docker Registry в GitLab

Admin

scp копировать папку с уд. сервера

→

Похожие темы