Вопросик по конфигурации certbot

Настрой nginx как тебе надо.

Негоже четырехзвездочному название темы такое ламерское использовать

Не умеешь редактировать конфиг nginx?

Вопросик поважнее: стоит ли тебе продолжать безвольно катиться по наклонной, или все-таки еще можно совершить какие-то действия по спасению разума? Ведь всего пару лет назад твои темы выглядели так, как будто их писало мыслящее существо.

Повторю в десятый раз - certbot это ненужная блоатварь. Используй нормальный le клиент, например acme-tiny. Конфиги настраивай сам.

RTFM, Luke certbot --help

Да редактировать после каждого авто-обновления так себе занятие

И?

Так конфиг каждый раз перетирается же, вот это бесит. И каждый раз приходится убирать этот редирект гребаный

Вопросик по конфигурации certbot (комментарий)

Крайне рекомендую прислушаться к этому комменту. Такое ощущение, что ты сросся с персонажем на аватарке, не превращайся в абырвалг.

хинт: убери --nginx

А что с ним не так? Задачи решает, багов нет, все ровно, за исключение вот этого модуля nginx

Certbot это худший из ACME-клиентов. Используй любой другой.

Так себе хинт. Нужно будет standalone веб-сервер поднимать (а для этого нужно будет остановить nginx). Ну и как то удобно, что не говори. Вот почему нет настроек никаких модуля этого --nginx. Тупо не нужно редиректить. Написан вроде на python, можно исходники подправить, НО...

Хм... а я даже и не знал что ещё что-то есть. Возьму на заметку, может на другом сервере попробую другой...

Если так хочется использовать certbot - просто настрой его на работу через webroot, без всяких интеграций с nginx. Для этого ничего не надо запускать дополнительно. А конфиги nginx сам напиши. Всё, что тебе надо сделать - написать хук, который после обновления ключа будет посылать reload nginx-у, чтобы он ключи и сертификаты перечитал.

Крайне рекомендую прислушаться к этому комменту

Вопросик#2 (комментарий)

Иногда тему трудно сформулировать название или оно будет почти дубляжом тегов, поэтому так бывает, иногда. Ладно брат понял, постараюсь в след. раз

Да это понятно, что обходные пути есть всякие. Вопрос был почему нельзя это настроить. Ну я как понял нельзя. Ладно нельзя так нельзя. Но почему нельзя не понятно )

Почитай документацию. Вроде есть ключик --no-redirect, по описанию как раз отключает редиректы.

Я думаю, что настроить можно. Просто на мой взгляд это в корне порочный подход - пускать какую-то шнягу на питоне редактировать конфиг nginx-а, который в общем случае может быть весьма нетривиальным и к чему приведёт это редактирование - даже представить страшно.

certbot --help
certbot --help | grep -i redir

Нету. Где такое нашел?

Нашёл тут.

Попробуй certbot --help all

Ну не знаю, если 1000 сайтов, что вручную будешь обновлять... У меня конечно не 1000, но все равно доменов кучка есть. Ладно бы, если б название папок не менялось, можно было б 1 раз прописать и потом обновлять не трогая конфиги, но они меняются и папки и файлы cert1.pem cert2.pem

Там есть симлинки, которые не должны меняться.

О, ты гений! ) Попробовал с этим ключем - отлично, нет редиректа теперь

Да, есть и правда есть. Посмотрим как обновится, не добавит ли этот редирект при обновлении

понятно. Значит не надо пользоваться таким гуано. Используй dehydrated.

Прописываю пути к pem сам, они всё равно при обновлении сертификатов не меняются. Максимум в хук добавить команду, чтобы nginx конфиг перечитал и сертификаты перезагрузил.

Без использования --nginx?

Да. Просто по таймеру запускается certbot для обновления сертификатов, а в «/etc/letsencrypt/renewal-hooks/» лежит скрипт с командой перезапуска nginx.

Симлинки на самые свежие pem-файлы лежат в подкаталогах внутри «/etc/letsencrypt/live»

Вот лорчую этого господина, сам остановился на dehidrated

Иногда тему трудно сформулировать

«Как отучить certbot форсировать редирект на https в nginx». Такое себе, но всяко лучше «вопросика»

Да господи...

Вот все у вас как на параде, салфетку — туда, галстук — сюда, да “извините”, да “пожалуйста-мерси”, а так, чтобы по-настоящему, — это нет. Мучаете сами себя, как при царском режиме.

certbot не нужен nginx не нужен, caddy нужен

Хм, второй раз уже проскакивает caddy, посмотрел там https есть автоматом. А вот реально уже надоело идиотские конфиги nginx править (где даже в IF нет оператора ELSE). Надо будет взять на заметку

Нет, certbot конечно не нужен а вот nginx нужен. Го-мусор тоже не нужен.

То что это нелепый комбайн. le-клиент должен решать только свою задачу - общаться с le и получать от него сертификаты. Править конфиги прод-веб-серверов он не должен.

Вот забавно, как лень разрабов nginx-а, которые не хотят дописать один простенький модуль в базовую поставку, чтобы https работал из коробки, рождает целую плеяду продуктов вроде caddy, кучи всех этих acme-клиентов.

Для вас, gobot’ов, документацию написали

https://eff-certbot.readthedocs.io/en/stable/using.html#webroot

Нет, так делать нельзя, и даже по двум причинам.

Во-первых, не надо делать комбайн.

Во-вторых, в целях безопасности, nginx (как и любой другой фронтэнд-веб-сервер) в норме вообще должен быть зафайрволен от всех исходящих коннектов в интернет. Только получать входящие на 80/443 и перенаправлять их на бэкэнды в локалку.

Могу предложить совершить миграцию на более развитый форк angie.

Так это плагин делает, причем довольно корректно. Почему бы и нет? Почему нельзя править, кто это сказал, слышишь, кто это сказал? Сzка, кто это сказал? Да, кто это сказал?

Править конфиги прод-веб-серверов он не должен.

Так это плагин делает, причем довольно корректно. Почему бы и нет?

Сегодня делает корректно, а завтра уже нет. Невозможно уследить за всеми изменениями в версионности конфигов.

Во-первых, не надо делать комбайн.

А это не комбайн, это базовый функционал. В apache httpd есть, в caddy есть.

Во-вторых, в целях безопасности, nginx (как и любой другой фронтэнд-веб-сервер) в норме вообще должен быть зафайрволен от всех исходящих коннектов в интернет. Только получать входящие на 80/443 и перенаправлять их на бэкэнды в локалку.

Ну для тех, кому нужен такой странный сетап - ради бога, это же опциональное будет в любом случае. Я такого никогда не видел, чтобы так кто-то делал.

Поставь angie. Там есть плагин acme. Сам прочитает из твоего конфига server_name, сам сходит получит для них сертификаты, сам положит куда надо и пути оставит в переменных, и при этом он не перетирает сам себе конфиг.

В apache httpd есть, в caddy есть.

Ага, есть в музейном экспонате который пыжится изобразить из себя что-то полезное, а так же есть в го-мусоре. Прекрасные примеры, конечно же брать с них пример мы не будем.

Ну для тех, кому нужен такой странный сетап

Это не странный сетап, это дефолт для https-фронтэнда в нормальных местах.

Я такого никогда не видел, чтобы так кто-то делал.

Кругом локалхосты.

А где он хранит account key? Или каждый раз новый генерирует? Если так, то очень плохо с его стороны.

webroot тут ни причем, мне уже vbr помог

Каждому - свое. Не хош не пользуй. Но пока задачи оно решает...