ano, staci pridat posthook a apache se po renew, ktere se vola pravidelne automaticky z cronu, reloadne sam:
/usr/bin/certbot certonly .... --post-hook "sytemctl reload apache2"
pokud se obnovi v tento cas treba 100 certifikatu, reload se udela jen jeden finalni po vsech obnovach
V článku jsou odkazy na dvě taková řešení, dokonce jsme o nich psali na Rootu: ACME.sh a Dehydrated. Já používám první jmenovaný, je to jeden skript, který si při instalaci sám přidá volání do Cronu a řeší si všechno kompletně sám. Stačí ho jednou zavolat se seznamem domén pro daný certifikát a všechno pak už běží jako na drátkách.
ACME.sh samozrejme pouzivam,ale spytam sa este raz, kto okrem skriptu, ktory si musim napisat a napr. dam do CRONu, spravi apache reload / restart ?
Vie napr. Apache sam detekovat, ze sa mu zmenil cert a reloadnut sa?
O ziadnom takomto rieseni neviem, preto mi pride ako dobry napad, ze Lets Encrypt priamo integruju do Apache a tym padom je tam sanca na to, ze po renew certu sa nemusim starat o reload apachov - neviem, nestudoval som to.
Ešte by som privítal, namiesto zadávania zoznamu domén a následného reštartu APACHE, aby bolo možné zadať napr. cestu k zložke, kde bude zoznam domén a kde sa budú ukladať certifikáty
[CODE]ManagedDomain /var/certs/[/CODE]
Pričom by som len v danej zložke vytváral pod-zložky s názvami domén (bez reštartu APACHE, s jednoduchou správou, kontrola nad umiestnením certifikátov)
[CODE]/var/certs/example.com
/var/certs/www.example.com[/CODE]
Jako dobrý, ale... no ... já nevím.... Tyhle automatizovaný věci se mi nezdají..
Radši mám vše pod kontrolou a pokud něco automatizovat, tak sám podle sebe a s upozorněním, že se něco nepovedlo. Vždyť automatická obnova certů se dá dělat cronem pomocí "certbot -q renew" stačí malinký skript.
Ano chápu pro uživatele to bude pohodlnější, ale tyhle "pohodlné" pro uživatele zabíjí Linux... ala systemd.
nejake mi tu chyba tento odkaz:
https://letsencrypt.org/2017/10/17/acme-support-in-apache-httpd.html
Valet (https://github.com/cpriego/valet-linux) toto uz umi velice dlouho - staci v terminalu zadat valet secure a okmazita stranka prechazi na https.
Ja by som len chcel doplnit informacie na zaklade mojej skusenosti, po instalacii na server Ubuntu 16.04, dna 31.01.2018
1.) Pridat repository od Ondřej Surý - https://launchpad.net/~ondrej/+archive/ubuntu/apache2 ako je uvedene v texte clanku
sudo add-apt-repository ppa:ondrej/apache2
sudo apt-get update
2.) V pripade, ze server nepozna prikaz SSLEngine on
Invalid command 'SSLEngine', perhaps misspelled or defined by a module not included in the server configuration - povolit Apache SSL_mod prikazom
sudo a2enmod ssl
3.) V pripade, ze server nepozna prikaz ManagedDomain example.com www.example.com
Invalid command 'ManagedDomain', perhaps misspelled or defined by a module not included in the server configuration
doinstalovat z repozitara od Ondřej Surý libapache2-mod-md a prislusne zavislosti
sudo apt install libapache2-mod-md
4.) Prikaz ManagedDomain syntax sa meni
[md:warn] [pid 11426] mod_md: directive 'ManagedDomain' is deprecated, replace with 'MDomain'.
MDomain example.com www.example.com
5.) Subor so suhlasom s podmienkami sa meni
[md:warn] [pid 15904] (22)Invalid argument: acme problem urn:acme:error:malformed: Provided agreement URL [https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf] does not match current agreement URL [https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf]
MDCertificateAgreement https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf
systemctl status apache2.service - zostava po spusteni skontrolovat ci Apache bezi
samozrejme chvilu pockat, kym sa stiahnu certifikaty a restartovat