Может ли certbot обновить результат --dry-run в ложном срабатывании?

Question

Может ли certbot обновить результат --dry-run в ложном срабатывании?

Если я бегу certbot renew --dry-run и не вносить никаких изменений в мою конфигурацию Nginx, я гарантирую, что certbot renew удастся через 90 дней? Другими словами, может ли результат быть ложноположительным?

Если так, я должен скорее бежать certbot renew --force-renewal для тщательного теста?

0

nginx certbot ssl-certificate-renewal

Источник

david.libremone 23 апр '18 в 06:50

1 ответ

Решение

Другие вопросы по тегам nginx certbot ssl-certificate-renewal

Diamant 23 апр '18 в 07:01 2018-04-23 07:01 · Accepted Answer · 2018-04-23 07:01

Конечно, вы можете использовать --force-renewal если вас это устраивает. Но вы не можете запустить его каждый день. --dry-run вариант именно по этой причине там тестирования.

Смотрите здесь: https://certbot.eff.org/docs/using.html:

--dry-run             Perform a test run of the client, obtaining test
                   (invalid) certificates but not saving them to disk.
                    This can currently only be used with the 'certonly'
                    and 'renew' subcommands. Note: Although --dry-run
                    tries to avoid making any persistent changes on a
                    system, it is not completely side-effect free: if used
                    with webserver authenticator plugins like apache and
                    nginx, it makes and then reverts temporary config
                    changes in order to obtain test certificates, and
                    reloads webservers to deploy and then roll back those
                    changes. It also calls --pre-hook and --post-hook
                    commands if they are defined because they may be
                    necessary to accurately simulate renewal. --deploy-
                    hook commands are not called. (default: False)

Эта опция предназначена для проверки вашей конфигурации и проверки правильности конфигурации, но имеет некоторые побочные эффекты.

Для обновления вы можете смело использовать renew опция регулярно через cron:

renew:
                The 'renew' subcommand will attempt to renew all certificates (or more
                precisely, certificate lineages) you have previously obtained if they are
                close to expiry, and print a summary of the results. By default, 'renew'
                will reuse the options used to create obtain or most recently successfully
                renew each certificate lineage. You can try it with `--dry-run` first. For
                more fine-grained control, you can renew individual lineages with the
               `certonly` subcommand. Hooks are available to run commands before and
                after renewal; see https://certbot.eff.org/docs/using.html#renewal for
                more information on these.

Это будет запускать процесс обновления регулярно, но будет продлевать сертификаты только тогда, когда это необходимо или скоро истекает.

--force-renewal не является правильным вариантом для обновления сертификата автоматически, скорее для ручного обновления:

Если вы вручную продлеваете все свои сертификаты, может быть полезен флаг --force-renewal; это приводит к тому, что время истечения срока действия сертификата (сертификатов) игнорируется при рассмотрении вопроса о продлении, и предпринимается попытка обновить каждый установленный сертификат независимо от его возраста. (Эта форма не подходит для ежедневного запуска, поскольку каждый сертификат будет обновляться каждый день, что быстро приведет к ограничению скорости центра сертификации.)

Что касается гарантии, это бесплатное программное обеспечение с открытым исходным кодом, и никто не собирается гарантировать вам все, что я полагаю. Так что используйте его на свой страх и риск.