Задать вопрос
@Aleksander911

Почему не продливается ssl сертификат wildcard на BitrixVM через cron?

Здравствуйте всем!
VPS на Бегет установил BitrixVM, сайт с городами на поддоменах. Ставлю сертификат Wildcard через команду:
yum install certbot
И перезапить двух txt файлов в DNS на поддомене _acme-challenge.название-сайта.ru
https отлично начинает работать на домене и поддоменах.
Но проходит 3 месяца сертификат заканчивается и чтобы в ручную не продлевать ставлю задачу на cron:
1) Создаю исполняемый bash скрипт:
nano /root/название-сайта-ssl-new.sh

2) следующего содержания:
#!/bin/bash
/usr/bin/certbot renew --post-hook "service nginx reload"


3) даю права на выполнение
chmod +x /root/название-сайта-ssl-new.sh

4) и размещаю его в crontab:
env EDITOR=nano crontab -e

5) добавляю запись:
05 04 */7 * * /root/название-сайта-ssl-new.sh
В результате каждую неделю по идеи скрипт должен запускатьсяи проверять необходимость обновления сертификатов.

Подскажите в чем может быть причина, почему cron не продлевает сертификат и приходится в ручную этим заниматься?
  • Вопрос задан
  • 129 просмотров
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 1
IvanU7n
@IvanU7n
nothing interesting here
на знаю как в RHEL-based дистрах, но в Debian-based дистрах установка certbot устанавливает и периодическое обновление через крон/таймер systemd

но не это главное, а то, что некому делать
И перезапить двух txt файлов в DNS на поддомене _acme-challenge.название-сайта.ru

для этого нужно написать отдельные скрипты, которые потом скармливаются certbot-у через что-то подобное
certbot certonly --manual \
--preferred-challenges dns \
--manual-auth-hook $prefix/dns-add.sh \
--manual-cleanup-hook $prefix/dns-del.sh \
--deploy-hook $prefix/deploy.sh \
-d ...


где dns-add.sh через nsupdate (разрешение обновления настроено на собственных NS-серверах) делает что-то типа
nsupdate -k $dnsKey <<COMMANDS
;debug
server $master
add $targetRecord 60 TXT "$CERTBOT_VALIDATION"
send
COMMANDS

а dns-del.sh по аналогии удаляет, но оба требуют доработки под конкретного DNS-провайдера
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы