Как поднять на 1 машине certbot для обновления ssl своих сайтов на других машинах?

Question

[dmitry_evdokimov]

Ранее обновлял ssl сразу на машине, на которой крутится сайт. Сейчас количество сайтов увеличилось, и лежат они на различных машинах (как в облаке так и локально).
Может есть хороший гайд по созданию сервера с certbot для обновления ssl сертификатов сразу на нескольких сайтах, которые находятся на сторонних машинах? Разумеется доступ на эти машины есть)

Answer 1

[Руслан Федосеев]

certbot на одном сервере запрашивает и обновляет wildcard сертификаты для все ваших доменов.
потом ансибл разливает каталог /etc/letsenctrypt на все нужные сервера и рестартует все необходимые сервисы...

Comments

[Drno]

а вопрос с А записью как решается?

[Руслан Федосеев]

certbot выдает wildcard сертификаты с подтверждением по ДНС. А для этого у него есть плагины.. Поставил нужный, чтобы он в bind ходил и подтверждал, настроил и все.

Answer 2

[AUser0]

DNS сервер у вас, на соседнем сервере? Тогда настраиваете на нём certbot на валидацию по DNS TXT записи, sh-скриптом подсовываете (есть в certbot такая возможность) запись в конфиги нужного домена - вуала, профит!

DNS не под контролем? Тогда на всех WEB-серверах проксируете все файловые /.well-known/acme-challenge/* запросы на сервер с certbot, настраиваете список директорий под каждый сервер, из certbot sh-скриптом (возможность ни куда не делась) ложите в нужную директорию файл с проверочным кодом - вуаля, профит!

Потом останется только sh-скриптом скопировать свежие сертификаты на соответствующие сервера - и вуаля, уже второй профит! Куда большей сложностью является правильная работа с пользователями на удалённых серверах, без хранения паролей на certbot-овом сервере...