Estoy usando certbot para generar certificados SSL para mi sitio web. Tuve un problema (debido a un error de secuencia de comandos cron y python2 desactualizado, ahora resuelto) donde la actualización automática no funcionó. Ahora tengo archivos de licencia actualizados en mi servidor.
Los archivos de licencia están en un archivo en letsencrypt, el número parece incrementarse con cada actualización (fullchain3 es la última):
root@mysite /etc/letsencrypt/live/mysite.com # ls -l ../../archive/mysite.com/ total 48K -rw-r--r-- 1 root root 3.4K Sep 8 2017 fullchain1.pem -rw-r--r-- 1 root root 3.5K May 8 17:02 fullchain2.pem -rw-r--r-- 1 root root 3.5K Jul 7 21:19 fullchain3.pem
un enlace simbólico apunta a la última versión y Lighty está configurado para seguir el enlace:
root@mysite /etc/letsencrypt/live/mysite.com # ls -l ../../live/mysite.com/fullchain.pem lrwxrwxrwx 1 root root 39 Jul 7 21:19 ../../live/mysite.com/fullchain.pem -> ../../archive/mysite.com/fullchain3.pem
Sin embargo, SSLLabs me dice que mi certificado no está actualizado y cuando reviso los números de serie de los archivos de licencia, resulta que están obteniendo fullchain2.pem.
Lighty ha sido reiniciado. Sin embargo, mod-compress se está ejecutando, ¿puede eso almacenar en caché el archivo de certificado anterior, incluso mediante un reinicio? y si es así ¿cómo le digo que no lo haga? si no, ¿cuál es la causa?
ACTUALIZACIÓN: Intenté detener Lighty, borrar el directorio de caché y reiniciar. Mismo resultado, parece que se sirve el mismo archivo...
Respuesta1
Bien, problema resuelto.
Para Lighty, se requiere un paso adicional después de actualizar los certificados. Básicamente, se debe crear manualmente un nuevo archivo concatenando dos archivos en el directorio de certificados. ver enlace a continuación:
https://www.bytebang.at/Blog/Free+SSL+certificate+for+lighttpd+with+letsencrypt
Si no se hace esto, el registro de errores de Lighty estará lleno de mensajes de "certificado caducado".
(No voy a brindar aquí el procedimiento de configuración completo, pero, esencialmente, después de actualizar los certificados, debe hacer lo siguiente:
cat privkey.pem cert.pem > web.pem
que debe coincidir con la línea
ssl.pemfile = "/etc/letsencrypt/live/mysite.com/web.pem"
en su configuración ligera.
Como se señala a continuación, de hecho no debería ser necesario usar el archivo concatenado con la última versión de Lighty, pero en lugar de cambiar mi configuración (que de otro modo sería estable), creé un script bash simple para administrar la actualización del certificado y también crear la concatenación. archivos:
#!/bin/bash
function update_web { cd $1 if [ web.pem -ot cert.pem ]; then echo updating web.pem in $1 cat privkey.pem cert.pem > web.pem fi }
/root/certbot/certbot-auto renew --no-self-upgrade update_web /etc/letsencrypt/live/mysite.com update_web /etc/letsencrypt/live/www.mysite.com