Ich verwende Certbot, um SSL-Zertifikate für meine Website zu generieren. Ich hatte ein Problem (aufgrund eines Cron-Skriptfehlers und eines veralteten Python2, jetzt behoben), bei dem die automatische Aktualisierung nicht funktionierte. Ich habe jetzt aktuelle Lizenzdateien auf meinem Server.
Die Lizenzdateien befinden sich in einem Archiv unter letsencrypt, die Nummer scheint sich bei jedem Update zu erhöhen (fullchain3 ist das aktuellste):
root@mysite /etc/letsencrypt/live/mysite.com # ls -l ../../archive/mysite.com/ total 48K -rw-r--r-- 1 root root 3.4K Sep 8 2017 fullchain1.pem -rw-r--r-- 1 root root 3.5K May 8 17:02 fullchain2.pem -rw-r--r-- 1 root root 3.5K Jul 7 21:19 fullchain3.pem
Ein symbolischer Link verweist auf die neueste Version und Lighty ist so eingerichtet, dass es dem Link folgt:
root@mysite /etc/letsencrypt/live/mysite.com # ls -l ../../live/mysite.com/fullchain.pem lrwxrwxrwx 1 root root 39 Jul 7 21:19 ../../live/mysite.com/fullchain.pem -> ../../archive/mysite.com/fullchain3.pem
SSLLabs teilt mir jedoch mit, dass mein Zertifikat veraltet ist, und wenn ich die Seriennummern der Lizenzdateien überprüfe, stellt sich heraus, dass sie fullchain2.pem erhalten.
Lighty wurde neu gestartet. Mod-Compress läuft jedoch. Kann das die alte Zertifikatsdatei zwischenspeichern, sogar während eines Neustarts? Und wenn ja, wie verhindere ich das? Wenn nicht, was ist die Ursache?
UPDATE: Ich habe versucht, Lighty zu stoppen, das Cache-Verzeichnis zu leeren und neu zu starten. Dasselbe Ergebnis, anscheinend wird dieselbe Datei bereitgestellt ...
Antwort1
OK, Problem gelöst.
Für Lighty ist nach dem Aktualisieren der Zertifikate ein zusätzlicher Schritt erforderlich. Grundsätzlich muss eine neue Datei manuell erstellt werden, indem zwei Dateien im Zertifikatsverzeichnis aneinandergereiht werden. Siehe Link unten:
https://www.bytebang.at/Blog/Kostenloses+SSL-Zertifikat+für+lighttpd+mit+letsencrypt
Wenn dies nicht erfolgt, ist das Fehlerprotokoll von Lighty voller „Zertifikat abgelaufen“-Meldungen.
(Ich werde hier nicht das vollständige Einrichtungsverfahren beschreiben, aber im Wesentlichen müssen Sie nach der Aktualisierung der Zertifikate Folgendes tun:
cat privkey.pem cert.pem > web.pem
die mit der Zeile übereinstimmen sollte
ssl.pemfile = "/etc/letsencrypt/live/mysite.com/web.pem"
in Ihrer Lighty-Konfiguration.
Wie weiter unten erläutert, sollte es eigentlich nicht notwendig sein, die verknüpfte Datei mit dem neuesten Lighty zu verwenden. Anstatt jedoch meine (ansonsten stabile) Konfiguration zu ändern, habe ich ein einfaches Bash-Skript erstellt, um die Zertifikatsaktualisierung zu verwalten und auch die Verkettungsdateien zu erstellen:
#!/bin/bash
function update_web { cd $1 if [ web.pem -ot cert.pem ]; then echo updating web.pem in $1 cat privkey.pem cert.pem > web.pem fi }
/root/certbot/certbot-auto renew --no-self-upgrade update_web /etc/letsencrypt/live/mysite.com update_web /etc/letsencrypt/live/www.mysite.com