Если ранее я выпустил себе wildcard сертификат для домена *.ekzorchik.ru, то сейчас подошел срок его продления, мне мой мониторинг Zabbix 5.0 по триггеру менее 10 дней напомнил об этом в Telegram.
Чтобы продлить сертификат на Ubuntu 18.04 Server нужно сделать следующее:
ekzorchik@ekzorchik:~$ sudo nano /etc/hosts 95.181.192.34 ekzorchik.ru ekzorchik@ekzorchik:~$ sudo nano /etc/hosts ekzorchik.ru ekzorchik@ekzorchik:~$ sudo certbot-auto certonly --manual --preferred-challenges dns aving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel): *.ekzorchik.ru ekzorchik.ru Cert is due for renewal, auto-renewing... Renewing an existing certificate Performing the following challenges: dns-01 challenge for ekzorchik.ru - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that. Are you OK with your IP being logged? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.ekzorchik.ru with the following value: R2w87zIbx8Io80fW61zRb42JwrmL2PBgYuyEWVzplXM Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
Вношу данную TXT запись на хостинге где имею доступ к DNS-записям, жду около 20 минут и только после нажимаю клавишу Enter. После чего получаю по тем же путям, которые были продленный сертификат, остается только перезапустить Web-сервис и интерпретатор php скриптов (это в моем случае).
ekzorchik@ekzorchik:~$ sudo nano /etc/nginx/conf.d/ekzorchik.ru.conf
server {
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/ekzorchik.ru-0002/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/ekzorchik.ru-0002/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
server_name ekzorchik.ru *.ekzorchik.ru;
#charset koi8-r;
access_log /var/log/nginx/ekzorchik.access.log main;
error_log /var/log/nginx/ekzorchik.error.log;
index index.php index.html index.htm;
root /var/www/html/ekzorchik-calc-newlk/backend/public;
location / {
try_files $uri /index.php?$args;
}
location ~ \.php$ {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_index index.php;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $request_filename;
fastcgi_pass unix:/run/php/php7.3-fpm.sock;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
server {
listen 80;
return 301 https://$host$request_uri;
# rewrite ^(.*)$ https://$host$1 permanent;
server_name ekzorchik.ru *.ekzorchik.ru;
#charset koi8-r;
access_log /var/log/nginx/ekzorchik.access.log main;
error_log /var/log/nginx/ekzorchik.error.log;
index index.php index.html index.htm;
root /var/www/html/ekzorchik-calc/backend/public;
location / {
try_files $uri /index.php?$args;
}
location ~ \.php$ {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_index index.php;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $request_filename;
fastcgi_pass unix:/run/php/php7.3-fpm.sock;
}
}
ekzorchik@ekzorchik:~$
ekzorchik@ekzorchik:~$ systemctl restart nginx php7.3-fpm
и сертификат успешно перепродлен.
Итого и на процесс перевыпуска сертификата я себе составил шпаргалку. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.