Nginx + certbot: как переместить один из поддоменов на другой сервер?

Question

[brainplus]

Есть сервер на nginx на ubuntu 22.0.4. Обслуживает сайты A.mysite.com, B.mysite.com, mysite.com. На всех ssl от letsencrypt, управляются certbot.

Хочется перенести A.mysite.com на другой сервер (компьютер). Как это сделать? В идеале чтобы сертификаты A.mysite.com продолжали управляться certbot'ом, но хотя бы чтобы браузеры не ругались на сертификат A.mysite.com

Гуглил 2 часа на английском, ничего толкового не попадается.

Если тупо скопировать /etc/letsencrypt с основного сервера на новый, то браузеры при заходе на A.mysite.com ругаются на плохой сертификат (сейчас хром ругается на NET::ERR_CERT_COMMON_NAME_INVALID )

Comments

[Valentin Barbolin]

при заходе на A.mysite.com ругаются на плохой сертификат..

Какая ошибка? Браузер пишет что именно ему не нравиться в сертификате.

[brainplus]

в хроме ошибка NET::ERR_CERT_COMMON_NAME_INVALID

[brainplus]

В общем на исходном сервере все работало нормально, хотя в сертификате переносимого поддомена не было.

После того как я добавил поддомен A.mysite.com который надо было перенести в сертификат, командой
certbot --expand -d A.mysite.com,B.mysite.com,mysite.com
и скопировал все из /etc/letsencrypt на новый сервер, на новом сервере все завелось и заработало без проблем

Только вот что будет когда certbot на исходном сервере продлит сертификат? Видимо придется ручками копировать /etc/letsencrypt на новый сервер

Для диагнностики ошибок сертификатов лучше использовать
curl https://A.mysite.com
- он пишет более информативные сообщения об ошибках, чем браузеры

[ky0]

Ну, то есть, вы не решили проблему, приложив временный лопух и не разобравшись в причинах тревожащего вас поведения - и отметили это решением. Океей :)

Answer 1

[ky0]

1. Выпускаете сертификат на новом сервере (если хочется бесшовно - через DNS-challenge или запроксировав каталог .well-known/acme-challenge на новый сервер).
2. Переключаете А-запись домена на новый сервер, проверяете, что всё работает.
3. Делаете certbot delete на старом сервере.

Comments

[brainplus]

а что даст certbot delete ?
Ведь надо чтобы на старом сервере часть поддоменов работала

[ky0]

brainplus, удалит из списка продлеваемых тот домен, который вы перенесёте.

[brainplus]

сертификат судя по всему выписан на весь домен mystite.com

Что мешает сертификатам из скопированного каталога /etc/letsencrypt работать для поддомена на новом сервере?

[brainplus]

ky0, зачем его удалять?

По условиям задачи старый сервер должен продолжать обслуживать часть поддоменов и сам домен.

Новый сервер должен обслуживать только один из поддоменов (который был тоже на старом сервере)

[ky0]

brainplus, поскольку вы ничего не сказали про wildcard-сертификаты, я предположил, что у каждого поддомена сертификат свой.

Answer 2

[Виктор Таран]

1. на старом сервере все работает.
2. Копируешь сайт а.site.ru на новый сервер
3. копируешь СГЕНЕРЕНЫЕ ключи туда -же и включаешь их в nginx
у себя на компьютере в .host файл вписываешь "1.1.1.1 a.site.ru" - где 1.1.1.1 -это новый айпи
Перезапускаешь браузер на компе поключаешься првоеряешь сайт.
После этого переписываешь А запись и удаляешь запись из host
Как запись переехала, гневишь сертификат уже локально.
Соответственно ставишь certbot letsencrypt через apt или что там у тебя ( ВАЖНО при тестах создани ключа добавляй --dry-run" и как только видеш что все сработало убираешь тесовый режим и гневишь уже реально сертификат ( так он не тратит 5 попыток в день)
ВСЕ. указывая только домен a.site.ru www.a.site.ru
ну или создаешь wildcard сертификат и юзаешь его и там и там.

Как вариант поставь веб панель дабы они ставятся с 1 клик и бесплатные ( только на чистую ОС)
ispconfig3
aapanel только английский
vestacp
brainycp русский проприетарный но бесплатный
И там уже создаешь сайт и галочкой создать сертификат.

Answer 3

[Alexey Dmitriev]

Значит что то желаете неправильно. При переносе на другой сервер днс записей, сертификата и приватного ключа - все должно работать.