Почему не продливается ssl сертификат wildcard на BitrixVM через cron?

Question

[Aleksander911]

Здравствуйте всем!
VPS на Бегет установил BitrixVM, сайт с городами на поддоменах. Ставлю сертификат Wildcard через команду:
yum install certbot
И перезапить двух txt файлов в DNS на поддомене _acme-challenge.название-сайта.ru
https отлично начинает работать на домене и поддоменах.
Но проходит 3 месяца сертификат заканчивается и чтобы в ручную не продлевать ставлю задачу на cron:
1) Создаю исполняемый bash скрипт:
nano /root/название-сайта-ssl-new.sh

2) следующего содержания:
#!/bin/bash
/usr/bin/certbot renew --post-hook "service nginx reload"

3) даю права на выполнение
chmod +x /root/название-сайта-ssl-new.sh

4) и размещаю его в crontab:
env EDITOR=nano crontab -e

5) добавляю запись:
05 04 */7 * * /root/название-сайта-ssl-new.sh
В результате каждую неделю по идеи скрипт должен запускатьсяи проверять необходимость обновления сертификатов.

Подскажите в чем может быть причина, почему cron не продлевает сертификат и приходится в ручную этим заниматься?

Answer 1

[IvanU7n]

на знаю как в RHEL-based дистрах, но в Debian-based дистрах установка certbot устанавливает и периодическое обновление через крон/таймер systemd

но не это главное, а то, что некому делать

И перезапить двух txt файлов в DNS на поддомене _acme-challenge.название-сайта.ru

для этого нужно написать отдельные скрипты, которые потом скармливаются certbot-у через что-то подобное

certbot certonly --manual \
--preferred-challenges dns \
--manual-auth-hook $prefix/dns-add.sh \
--manual-cleanup-hook $prefix/dns-del.sh \
--deploy-hook $prefix/deploy.sh \
-d ...

где dns-add.sh через nsupdate (разрешение обновления настроено на собственных NS-серверах) делает что-то типа

nsupdate -k $dnsKey <<COMMANDS
;debug
server $master
add $targetRecord 60 TXT "$CERTBOT_VALIDATION"
send
COMMANDS

а dns-del.sh по аналогии удаляет, но оба требуют доработки под конкретного DNS-провайдера

Comments

[Aleksander911]

Спасибо за ответ. Оказалось, что хостинг Бегет не поддерживает перезапись txt файлов в DNS через cron в VPS. Чем я был сильно удивлен. Предложили сократить поддомены городов до 100, что бы использовать обычный SSL Let's Encrypt, который не требует перезаписи, либо купить платный, который дается на год.

[IvanU7n]

Aleksander911, странно, вроде API для DNS у них вроде есть https://beget.com/ru/kb/api/funkczii-upravleniya-d...
правда не знаю доступен ли этот API при работе только через VDS, или DNS-ы не бегетовские?

[Aleksander911]

IvanU7n, всё от Бегет и DNS тоже. Было также предложение делегировать домен другим DNS-серверам, которые поддерживают работу с certbot посредством плагинов.
Да, они тоже предложили воспользоваться их api.
Было и предложение настроить работу сайта через CDN (например, Cloudflare) и выпускать сертификат на их стороне.
С другими сайтами вообще проблем с городами даже на хостинге нет (на нем Wildcard работает нормально), а этот яндекс стал грузить роботами, хоть и понижал скорость обхода через crawl-delay и Я.Вебмастер, поэтому перешли на VPS.
По поводу api тоже не особо понятно, нет каких то конкретных примеров работы с ним на практике. А когда пишут скудную документацию, как то разбираться не особо хочется.
Поговорил с клиентом, решили, что снизим лучше до 100 городов, т.к. он сам не успевает обрабатывать заказы.