bassoon48, летсэкнкрипт требует подтверждение владения доменом, методы разные, сертбот подтверждает через создание файла на веб сервере, к которому домен привязан. В базовой ситуации сертификата у сайта нет, https не поднят, поэтому и 80-й порт. В дальнейшем при обновлении серта всё равно то же самое подтверждение делается уже с поднятым https, так что не имеет никакого значения вообще что у вас там в начале было.
А теперь представим себе ситуацию: что-то произошло и сертификаты просрочились. Запускается certbot, просит letsencrypt выдать новый серт, тот бежит на 443 порт... и ssl error - certificate invalid
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3
Ну сертбот не дятлы делали, и перевыпуск он инициирует до окончания срока действия сертификата.
bassoon48, астериск в качестве хобби... врагу не пожелаешь, имхо. Нет, прикольно поковырять по началу, но потом лишь бы настроить рабочую задачу, и глаза б его не видели. Инструмент хороший, мощный, но очень замороченный.
Ziptar, слушай. У меня перевыпуск вроде работает и так.
Я сравнил конфиги в nginx sites-enabled.
Тот конфиг где был по дефолту 80 порт, - certbot сам переписал на 443 порт.
Я же по сути лишь "помог" ему дописать ручками.
Значит по сути я правильно всё сделал.
По уму конeчно надо делать чтоб сертификатами рулил сам haproxy, но это надо заморачиваться делать шару куда будут скалдываться серты и иметь доступ haproxy и сервисы.
А это головняк. В продакшене даже не всегда так заморачиваются