В чем отличия certbot от certbot-auto?

Question

[olegi]

Здравствуйте!

Был хостинг на Debian 7, nginx. Поставил certbot-auto согласно официальной инструкции - https://certbot.eff.org/#debianwheezy-nginx. Всё устраивало, сам прописал себя в конфиги файлов сайтов, сам в крон и т.п.

Через пару месяцев мне пришлось переехать на Debian 8, nginx. И тут, согласно официальной инструкции надо использовать certbot из пакета и поработать над тем, чтобы был указан и webroot и был доступен /.well-known/acme-challenge по 80 порту из интернета.

У меня вопрос такой - почему certbot-auto не нужен /.well-known/acme-challenge ? Или если нужен, то как сервер Let'sEncrypt осуществляет проверку? Т.к. /.well-known и т.п. на диске не обнаружен. Или он на время проверки выключает временно Nginx и запускает standalone свой web сервер?

Answer 1

[Андрей Михалёв]

На сколько я помню, доступ к файлу по http нужен для создания и продления сертификата. И работает проверка только по http! Возможно сейчас что-то поменялось... не в курсе.
Если вы НЕ ставили редирект с http на https, то никаких телодвижений не нужно было делать.
Если редирект с http был настроен, то в nginx (да даже если apache, без разницы) обязательно нужно прописывать location и разрешать доступ к директории по http.
По ссылке что предоставил Владимир, говорится лишь об автоматической и ручной установке сертификата. При автоматической certboot сам создает нужные location в конфигах веб-сервера, при ручной - это строки нужно прописывать самостоятельно (неожиданно!)
Посмотрите статью на wiki.debian, возможно окажется полезной https://wiki.debian.org/ru/LetsEncrypt

Comments

[olegi]

У меня вопрос в том, почему для Debian 7 вообще ничего не надо настраивать? нет выбора webroot+well-known или standalone.

[Андрей Михалёв]

olegi: все одинаково, как на deb7 так и на deb8. все расписано выше