Vlákno názorů k článku Let's Encrypt zjednoduší práci s DNS, bude stačit přidat záznam jen jednou od thekarinka - V článku je to lehce nakousnuté... Máte někdo...
-
Standardní check_http (z Nagios-plugins, používá ho třeba icinga) má na tohle explicitní volbu.
https://nagios-plugins.org/doc/man/check_http.html-C, --certificate=INTEGER[,INTEGER]
Minimum number of days a certificate has to be valid. Port defaults to 443
(When this option is used the URL is not checked by default. You can use
--continue-after-certificate to override this behavior)
--continue-after-certificate
Allows the HTTP check to continue after performing the certificate check.
Does nothing unless -C is used.4. 12. 2025, 15:04 editováno autorem komentáře
-
A ono je takový problém si (klidně na tu samou icingu) jako zapnout nějakej nginx na localhostu, a do něj ten automat, co to provisionuje certy na ne-webový věci nechat provisionovat paralelně i do něj. Navíc ta icinga vůbec nemusí bejt ani venku, že ano.
A k tomu vartování, Vy tam nemáte nějakej ten NOC (v tomhle případě klidně i indiánskej, i když je to jinak obvykle o nervy), kterej u toho těch 24/7 sedí aby nemusel drahej admin vartovat, a když někde něco zčervená, tak probudí příslušného admina, a mluvíte o zkušenostech z praxe?
-
DannyStříbrný podporovatelA tak i tohle je umerne mire rizika, kterou pripadna nedostupnost zpusobi. Aneb SMB obvykle nema naroky jako Temelin - a kdyz ma, pak ma jiste i odpovidajici zdroje. Je to jen otazka penez. A ono i kdyz je ten admin jen jeden, porad muze (a mel by) mit monitoring, co ho na blizici se problem upozorni driv, nez k problemu doopravdy dojde.
-
DannyStříbrný podporovatel
Tak ten trigger bude treba tyden predem. Porad spousta casu na to problem vyresit, pokud obmena neprobehne automaticky. Nebo nekdo potrebuje mesic na to, aby opravil rozbite obnovovani certifikatu? :-)
-
DannyStříbrný podporovatel
No, takove firmy si sve procesy budou muset chtenechte prizpusobit - tedy narovnat do pricetneho stavu odpovidajici 21. stoleti. Ono jim beztak nic jineho nezbude :-) CA/B forum se fakt na nazor zkostnatelych korporatu ptat nebude. Mimoto, i komercni CA vam klidne klidne muzou pomoci ACME vystavovat certifikat obden s platbou na rok+ dopredu - cimz se resi ten zakladni procesni problem korporatu (jakoze nekdo ten nakup musi schvalit).
