Выкинул nginx, перешел на Angie

Потому что это форк, который не популярен. Вот пакеты и не собирают.

Понятно

Теперь нет возни с сертификатами, оч. удобно

Рад за тебя. А при чем тут nginx, из которого пришел этот код?

Рад за тебя, дружище. А у меня самоподписной сертификат на 100 лет, и мне наплевать на эти сторонние сервисы сертификации. Порадуйся же и ты за меня)

Теперь нет возни с сертификатами, оч. удобно

Поясни для тупых, что за возня с сертификатами в nginx?

Недавно была статейка на хабре, которая подсказала мне, что есть смысл глянуть на Angie

Вангую что автообновлялка с letsencrypt встроена прямо в код(как например в той же Caddy), но так-то я хз - с angie дел не имел

Глянул инет, пакеты есть только в Сизифе.

Да. Если nginx женить с certbot, там надо немного поприседать с тем, чтобы certbot гасил nginx и сам раздавал подтверждающие циферки на 443-м порту. А в angie всё это уже встроено и никого гасить не надо. Минимум настройки, отсутствие даунтайма — одни преимущества.

https://repology.org/project/angie/versions

В ауре есть, в никсе есть, в росе есть.

А если с dehydrated то не надо.

Про никс я х.з.

В росе он там что то давно протух … а аур это вообще не считается (и фряху я тоже не посчитал) так что по сути только в Сизифе есть.

А вроде уже и в nginx завезли.

наверно надо репозиторий добавить. и пакеты будут.

certbot гасил nginx и сам раздавал подтверждающие циферки

не очень понял зачем гасить и почему на 443м порту?

в апаче например просто каталог надо пробросить

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    ...
</Directory>

ну и для развесистых доменов можно через dns подтверждать сертификаты

Спасибо, учту.

Я настроил nginx через acme-tiny, там никаких даунтаймов нет и настраивается просто.

У меня wildcard-сертификат обновляется через acme.sh, который просто выполняет systemctl reload nginx после обновления. Вообще беспроблемно работает.

Выкинул nginx со всех серверов, установил Angie (форк nginx)

Зачем

Теперь нет возни с сертификатами, оч. удобно

У меня и на nginx нет. Что за возня с сертификатами?

что мешает написать bash скрипт для апдейта или ansible роль?

Так certbot - блоатварь, не надо его использовать.

Выключать nginx чтобы обновить le-сертификат разумеется не надо.

для справки, angie пилят разработчики оригинального nginx, которые продали проект американской корпорации и переехали в Москву.

В nginx эти американские корпорасты только совсем недавно наговнокодили модуль для поддержки acme, причём по сравнению с angie с ограниченной функциональностью и на расте.

Из минусов: нет в ubuntu пакетов. Почему?

ну потому что его русские пилят. Харам, отменить 😂

Rust уже и в nginx пролез?

Что касается «поддержки acme» то по-моему это не задача веб-сервера.

Не надо искать политику везде, тут всё проще - angie мало кто знает и использует. Если хочешь чтобы он был в убунте, стань сначала его мейнтейнером в дебиане (чтобы в дебиан репе был пакет, у него должен быть мейнтейнер, но, как видно, желающих не нашлось). Потом убунта его себе утащит и он будет и там тоже.

Не совсем так. nginx Сысоев продал и в разработке он уже несколько лет, как не участвует. Angie по сути основал отдел разработки, который находился в Мск. Сразу с событиями, F5 сказала или релокация или нафиг с пляжу. Ну вот они подумали с сделали собственную контору.

По результату: в F5 (в оригинальном nginx) релоцировалось 2 (или 3 не помню, разраба) / Дунин отвалился, потому что F5 стал напрягать опенсоурс, и создал freenginx / остальные - основали angie.

Rust уже и в nginx пролез?

https://github.com/nginx/nginx-acme

Aleksei Bavshin
bavshin-f5
he/him

Конечно, а на чем еще могут кодить люди с «he/him» в подписи?

Эм, «he» это мужской род, что в этом плохого?

Теперь нет возни с сертификатами, оч. удобно

Ну так в Nginx обещает быть тоже.

Что-то посущественнее будет?

Может у них есть какой-никакой гуй (nginxui.com)?

Тот факт, что он их вообще указал. Ну может, у них там в Сан Хосе так принято, иначе тебя закидают тапками, но в основном это намёк/индикатор на приверженность радужной экстремисткой повестке.

Можно было выбрать «Don’t specify» в настройках, например.

первый раз, кстати, слышу про Angie

Эм, «he» это мужской род, что в этом плохого?

Ну и как белый цисгендерный мужчина может что-то кодить? Он только унижает и харрасит. И газлайтинг устраивает.

и переехали в Москву

Веб-сервер с встроенной закладкой ФСБ?

Внезапно, не все люди могут знать, что имя Aleksei - мужское, плюс действительно есть отбитые, которым надо пояснять. Не вижу ничего плохого в уточнении, возможно он гордится этим и специально подчёркивает.

нужно учитывать, что angie - это разработка компании рамблер, которая пыталась отжать детище сысоева, а потом получив волну возмущения, создали форк nginx. в общем у нас этот angie пиарят как и высеры яндекса типа ydb, тарантула и прочего дерьма, никому в мире не интересного. как drop-in альтернатива он тоже не особо нужен. cloudflare создал и выложил pingor’у, а ты повелся на «маркетинговый буллшит»

райдуйся, что тебя не semen зовут, а мне сэром всех геев быть в принципе нормально

acme.sh работает очень четко, да и в самом nginx появилась поддержка acme (пусть и урезанная). Не вижу смысла использовать маленький нишевый форк ради такого мелкого функционала.

че ты вот втираешь? вот инсайды от разрабов на магас-тв. да, там трудятся бывшие разработчики nginx, но это:

разработчики оригинального nginx

очень натянутое заявление

he/him

А должно быть she/хер? Вроде все правильно, а подпись — требование чудиковатых фриков с комплаенсом

Откуда ты взял про «разработку рамблер»?

Попробуй caddy. Есть репозиторий с пакетами для ubuntu. Написан на Go, а значит автоматически более безопасен и лучше скалируется. Тоже умеет автоматически получать сертификаты. Конфигурация гораздо короче и проще nginx. В общем выигрыш по всем фронтам.

это они за кого бы себя не выдавали.

что значит «нет возни с сертификатами»? там нет TLS?

ну и для развесистых доменов можно через dns подтверждать сертификаты

не для «развесистых», а обычный wildcard. и да, далеко не все регистраторы доменов имеют какие-либо API для подобных хуков. так что скрипты не годятся, как и модули.

это значит что там из коробки есть модуль, позволяющий получать сертификаты letsencrypt по протоколу ACME. Т.е. для этого не надо ставить всякие certbot и т.п.

раздавал подтверждающие циферки на 443-м порту Каком ещё 443 порту?

см. мой комментарий выше. эти сертботы и иже с ними не решают проблемы с большинством доменных регистраторов и некоторыми CA, у которых нет API для ACME.

впрочем, раз в два месяца тыркнуть запись в DNS вручную - не какая-то ужасная проблема, если это один-два сервера. если много доменов, то конечно, заманаешься.

хотя, наверное, можно поднять свой DNS сервер и там обслуживать свою зону, а у регистратора прописать ссылки. но тоже не слишком заманчивое решение.

Ну например nginx не умеет читать имя файла сертификата через переменную в конфиге.

Используй регистратор у которого есть API

????

PROFIT!

я предпочитаю регистратора, который мне удобнее, а не который имеет какие-то макакоскрипты. макакоскрипты тут на десятом месте вообще.

и здесь разброд и шатания :(