я первый :P

даже так %)

работу сменил, вот 3 месяца с докерами на проде вожусь.

кто нибудь ставил серт от startssl? настроил запускаю - Server aborted the SSL handshake

2017 год на дворе. браузеры выкинули startssl. он теперь не отличается от самоподписанного

let's encrpyt есть вроде

2017 год на дворе. браузеры выкинули startssl. он теперь не отличается от самоподписанного

https://geektimes.ru/post/281188/ некоторые подробности

let's encrpyt говно конченное если бы у меня был 1 проект я бы еще потерпел а когда у меня их n+ то опускать сайт это ппц

или я не нашел решеняи получения сертефиката без отключения сайта

let's encrpyt говно конченное если бы у меня был 1 проект я бы еще потерпел а когда у меня их n+ то опускать сайт это ппц

Это же вроде первая реализация такая была...

а сейчас как?

https://habrahabr.ru/post/301558/

попробую может реально все стало проще

В nginx указывается папка, куда letsencrypt кладет проверочный файл, Файл становится доступен по URL. За счет этого перезагрузка не потребуется.

Хотя я могу заблуждаться и nginx всё равно должен презагрузиться, чтобы подхватить новый серт.

Должен, но без потери соединений

let's encrpyt говно конченное если бы у меня был 1 проект я бы еще потерпел а когда у меня их n+ то опускать сайт это ппц

ленк говно но не поэтому

как сделать ленк, чтобы опускать сай я даже специально не могу придумать

видел ман где чел запускал докер от let's encrpyt вместо сайта и получал автоматом серт это вообще дикий маразм

как сделать ленк, чтобы опускать сай я даже специально не могу придумать

"выключите сайт, включите наш супердемон, которому нужно забиндиться на 80-й порт и отдать .well-known, включите сайт".

"выключите сайт, включите наш супердемон, которому нужно забиндиться на 80-й порт и отдать .well-known, включите сайт".

Зачем сайт то тушить?

Зачем сайт то тушить?

хм, к кому вопрос? к автору какого-то мануала, которых сотни в интернете и пример которого я воспроизвел?

я так понял тушение сайта это было в старой реализации

вообще в 2017ом году могли бы сделать лк с апишкой и получением всего этого говна на автомате

вообще в 2017ом году могли бы сделать лк с апишкой и получением всего этого говна на автомате

внезапно, так и есть. только без личного кабинета, только с апишкой.

в лк можно домены внести

проверку пройти

а зачем ЛК, если можно никуда домены не вносить, а просто получать сертификаты? :)

а потом конторку прикроют )

я согласен с проверкой но без ебли в 90 дней

или хотябы это по нормальному автоматом

я согласен с проверкой но без ебли в 90 дней

настройте деплой автоматом и будет вам счастье.

на 100 сайтов? )

на 100 сайтов? )

на 100 - никаких проблем. на 10к - будет геморнее уже.

гемор уэе на 2+ начинается

нет.

да и для 1го гемор текущей реализации )

да и для 1го гемор текущей реализации )

нет.

мне да

видел ман где чел запускал докер от let's encrpyt вместо сайта и получал автоматом серт это вообще дикий маразм

погодь. это тоже рабочий вариант. когда сайта нет. зачем глупо испльзовать инструмент?

"выключите сайт, включите наш супердемон, которому нужно забиндиться на 80-й порт и отдать .well-known, включите сайт".

бля )))

ну для меня не рабочий у меня докер с nginx где n+ сайтов я что должен потушить его? )

бля )))

ну ты попросил специально придумать :) про летсенкрипт везде очень плохие примеры показывают, если честно.

я так понял тушение сайта это было в старой реализации

нет. не было такого. было и осталось поднятие сайта для случанв когда его вообще нет

ну для меня не рабочий у меня докер с nginx где n+ сайтов я что должен потушить его? )

1) есть DNS-верификация через TXT-запись. 2) ну не пользуйся плохим способом, пользуйтесь хорошим.

вариат что описан тут https://habrahabr.ru/post/301558/ мне понравился хреново конечно но уже что то

ну ты попросил специально придумать :) про летсенкрипт везде очень плохие примеры показывают, если честно.

спасибо. кошмар какой

вариат что описан тут https://habrahabr.ru/post/301558/ мне понравился хреново конечно но уже что то

пожалуйста, очередной отвратительный пример. эта штука будет лезть в ваши конфиги нджинкса. сама. это не будет работать более, чем на одном сервере. никак.

не, не лезет

кладет в папку и все

вариат что описан тут https://habrahabr.ru/post/301558/ мне понравился хреново конечно но уже что то

слушай. там цербот уже нормальный. хоть вебрут делай, хоть днс, хоть вручную парся вывод

а вот про > DNS-верификация через TXT-запись не знал что у них такое есть

не, не лезет

а, да, моя ошибка.

да вебрут в большинстве случаев ок

да вебрут в большинстве случаев ок

пока сервер один. и мне кажется, это отнюдь не большинство случаев.

А почему нельзя лэк повесить слушать 80 на локалхост и прост проксирнуть на него нгинкс?

А почему нельзя лэк повесить слушать 80 на локалхост и прост проксирнуть на него нгинкс?

можно, кто ж вам запретит.

кто по dns работает?

кто по dns работает?

интернет например. вопрос-то в чем?

нене

https://github.com/lukas2511/dehydrated/wiki/Examples-for-DNS-01-hooks

dns првоерка при получении ssl

можно, кто ж вам запретит.

Ну дык зачем тогда глушить сайт?

Ну дык зачем тогда глушить сайт?

брр, придумал идиотский мануал как пример идиотского мануала, теперь у меня спрашивают, почему мануал такой идиотский.

ERROR: S client not available

низачем.

А, ок. А то я так понял что это обязательное условие. Извините за панику

пока сервер один. и мне кажется, это отнюдь не большинство случаев.

да почему? сделац всем прокидку веллноун в одну папку и трай файлс

да почему? сделац всем прокидку веллноун в одну папку и трай файлс

ну да, но это надо заводить отдельный сервер с вебрутом, проксировать .well-known с фронтов на этот сервер и с него потом деплоить сертификат на фронты внешними от сертбота способами.

с днс походу еще геморнее

с днс походу еще геморнее

нет

ну да, но это надо заводить отдельный сервер с вебрутом, проксировать .well-known с фронтов на этот сервер и с него потом деплоить сертификат на фронты внешними от сертбота способами.

а, если ты по сервера в плане нод, то вообще не вижу проблемы - ансиблом бегаешь и ладно

ну да, но это надо заводить отдельный сервер с вебрутом, проксировать .well-known с фронтов на этот сервер и с него потом деплоить сертификат на фронты внешними от сертбота способами.

Можно попробовать сделать на уровне http реврайт, если сервера не нагруженные

ну то есть если у вас нет возможности в пару команд внести запись в DNS - то да, геморнее.

Можно попробовать сделать на уровне http реврайт, если сервера не нагруженные

сертбот ходит по 30х-редиректам?

Интернал реврайт же

Интернал реврайт же

что? вы не знаете на какой из 50 серверов придет запрос от сертбота.

у меня днс на яндексе

у меня днс на яндексе

у днс на яндексе есть очень удобное апи.

ну атк надо писать к ней скрипт )

ну атк надо писать к ней скрипт )

вот блин!

не проблема

просто это надо делать

а решение с шелом дает получить серт прям сейчас

вот в чем затык

Кстати, а яндекс.днс можно делегировать левым чувакам?

через апи )

Кстати, а яндекс.днс можно делегировать левым чувакам?

выдать доступ кому-то левому к какой-то зоне?

выдать доступ кому-то левому к какой-то зоне?

да хоть ко всем моим. но только днс, а не весь сервис

там можно ключи доступа к днс-апи выдавать

но кажется это зааффектит весь ПДД

там можно ключи доступа к днс-апи выдавать

только к днс без почты?

воот

напишите интерфейс с апишкой и выдавайте досутпы к доменам

и делегируйте кому хотите

что? вы не знаете на какой из 50 серверов придет запрос от сертбота.

Да, забыл я как нгинкс работает. В каждой сервер добавить локейшн для таких файлов не вариант?