我有一台使用 certbot/letsencrypt 憑證支援 HTTPS 的伺服器。
我正在進行一般軟體升級,以便最大限度地減少風險和停機時間,我在新伺服器上安裝新版本,並在其中匯入即時伺服器資料進行測試。當一切正常後,我將更改 DNS 記錄以指向新伺服器。
我的問題是我該怎麼辦證書?我可以複製現有的並在必要時更新它嗎?或者證書是否會不相容和/或 LE 會抱怨地址在自動續訂過程中已更改? LE 對反向 DNS 是否敏感(反向 DNS 工作可能需要更多延遲)。難道還有什麼問題是我沒有想到的嗎?
答案1
預設情況下,Certbot/Letsencrypt 將其設定檔和產生的憑證儲存在/etc/letsencrypt.因此,您只需將 Certbot 安裝到新伺服器並從舊伺服器複製目錄即可。當然,您必須設定網頁伺服器(Apache、Nginx,無論您使用什麼),指向新伺服器中的憑證。
答案2
您可以複製證書即可。也許將當前伺服器配置為另一台伺服器的反向代理,您將被排序,直到您做出最後一步。我希望我能幫忙:)
答案3
對於那些從一台伺服器遷移到另一台伺服器的人 - 其中 Let's encrypt certbot 已經存在,我可以分享我最近的經驗。
首先,我在新伺服器中更新了 NginX 配置,其中我server使用舊伺服器的配置建立了新區塊。但我已經更改了ssl_certificate和ssl_certificate_key路徑以匹配現有路徑。
然後我更改了 DNS 記錄 - 這使得我的伺服器暫時傳回無效憑證!
最後我跑了:
certbot --nginx
這為現有+新網域建立了新憑證。
總停機時間不到 1 分鐘。