+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Скрипт Bash для автоматического продления сертификатов Let's Encrypt с помощью Certbot-auto., Proxmox Виртуальная Среда

KenVjn

Guest

15.03.2020 15:58:00

Привет, ребята! Я настроил всё как здесь: https://pve.proxmox.com/wiki/HTTPS_Certificate_Configuration_(Version_4.x,_5.0_and_5.1)#Introduction, и это работает (использовал proxmox 6.1-3).

Установил:
`apt install certbot`
`apt -t buster-backports install certbot`
`certbot certonly`

Как вы хотите аутентифицироваться с ACME CA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

KenVjn

Guest

15.03.2020 17:01:00

Вот мой скрипт /usr/local/bin/renew-pve-certs.sh:
```
cat << EOF > /usr/local/bin/renew-pve-certs.sh
#!/bin/bash
certbot renew --no-self-upgrade
mv /etc/pve/local/pveproxy-ssl.pem /etc/pve/local/old-ssl/
mv /etc/pve/local/pveproxy-ssl.key /etc/pve/local/old-ssl/
cp /etc/letsencrypt/live/mydomain.ga/fullchain.pem /etc/pve/local/pveproxy-ssl.pem
cp /etc/letsencrypt/live/mydomain.ga/privkey.pem /etc/pve/local/pveproxy-ssl.key
service pveproxy restart
service pvedaemon restart
EOF
```

Сделай скрипт исполняемым:
```
chmod +x /usr/local/bin/renew-pve-certs.sh
```

Потом отредактируй /etc/crontab и добавь следующую строку:
```
30 6 1,15 * * root /usr/bin/certbot renew --quiet --post-hook /usr/local/bin/renew-pve-certs.sh
```

Вопрос: Необходима ли опция "certbot renew --no-self-upgrade" в скрипте? (Поскольку в crontab также используется синтаксис: certbot renew --quiet --post-hook /path/to/file/script.sh)

fabian Guest	#3 0 16.03.2020 09:09:00 Интересно, почему ты используешь certbot, а не встроенную поддержку ACME, которая делает абсолютно то же самое и настраивается через графический интерфейс? https://pve.proxmox.com/pve-docs/pve-admin-guide.html#sysadmin_certificate_management

Etienne Charlier

Guest

16.03.2020 12:08:00

Мне тоже пришлось оставить свой старый скрипт, потому что я не могу разобраться, как его настроить для аутентификации на основе DNS: мой кластер не виден из интернета, даже если он может выходить в интернет.

fabian Guest	#5 0 16.03.2020 13:08:00 Да, это пока не поддерживается встроенной поддержкой ACME (но работа над этим ведется). OP использует standalone / http challenge, который отлично работает со встроенной интеграцией.

Etienne Charlier Guest	#6 0 16.03.2020 13:58:00 Отличные новости: — OP уже использует встроенную поддержку ACME — я смогу это сделать скоро! Всего доброго, EC.

KenVjn Guest	#7 0 16.03.2020 17:22:00 Я совсем забыл об этом.

alexskysilk

Guest

22.06.2021 21:02:00

Прости за воскрешение темы, но насколько я понимаю, причина в том, что нет механизма для предварительных/последующих хуков. Скажи, что я не прав, пожалуйста, потому что я бы очень хотел иметь это как единый механизм для развертывания сертификатов.

fabian Guest	#9 0 23.06.2021 10:06:00 Нет, механизма хуков нет.

meek2100

Guest

#10

03.05.2025 00:03:00

@fabian, а как насчёт поддоменных доменов со встроенным управлением сертификатами? Я сейчас использую DNS, но если я попытаюсь создать *.мойсайт.tld, то ячейка станет красной и не позволит мне отправить запрос в letsencrypt. Отсутствие этой функциональности вынудило меня перейти на nginx и certbot на моём хосте PVE.

fabian Guest	#11 0 06.05.2025 08:32:00 Смотри https://bugzilla.proxmox.com/show_bug.cgi?id=5719 по поводу PBS, поддержка определенно может быть добавлена для всего PVE/PBS/PMG.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры