Nginx и https — переезд на новый сервер?

Question

[Анатолий Сидоров]

Добрый день!
Необходимо переехать(перекинуть DNS-записи, сам сервер настроен) с сервера А на сервер В с минимальным даунтаймом. Но проблема заключается в том, что на сервере A на домены установлены ssl-сертификаты с помощью LetsEncrypt. А так как DNS-запись на сервер В еще не перенесена - то сгенерировать сертификаты на этом сервере не получается.

Пример конфига на сервере А (продублированный на сервере В):

server {
    # перенаправление с 80 порта, а также с www
    server_name www.example.ru example.ru;
    listen 80;
    return 301 https://example.ru$request_uri;
}

server {
    server_name  www.example.ru example.ru;

    listen 443 ssl;
    listen [::]:443 ssl;
    ssl_certificate /etc/letsencrypt/live/example.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.ru/privkey.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    root /var/www/example.ru;

    # ...
}

Какие есть возможные варианты решения проблемы?

Заранее спасибо!

Answer 1

[mureevms]

Раз доменное имя одно, то просто скопируйте имеющиеся сертификаты на новый сервер. Их не надо перевыпускать.

Answer 2

[Владимир Муковоз]

Можно использовать сертификаты сгенерированные на старом сервере.
Ну и чтобы переход оказался мгновенным, заранее в днс записях типа А пропишите самый минимальный TTL который позволяет прописать Ваш DNS хостер. Дождитесь то время которое было прописано в TTL ранее, ну и меняйте. У меня удавалось перевести сервер всего за 2 минуты с такими манипуляциями) Ну, а как переведёте TTL можно опять увеличить.
Ну и если совсем перестраховаться можно настроить прокси со старого сервера на новый и тогда даже те кто попал на старый сервер всё равно будут открывать проксируемый новый сайт.

Comments

[zooks]

TTL — это ведь рекомендуемое значение. У некоторых провайдеров как минимум час будет открываться сайт на старом сервере.

[Владимир Муковоз]

zooks, а я и не говорил что всё прям идеально), у некоторых провайдеров и трое суток может старый открываться))

[zooks]

Владимир Муковоз, я к тому, чтобы не перенастраивать лишний раз TTL, т.к. преимущества минимальны.
А так да, ответ верный. Легче скопировать сертификаты, т.к. они выдаются без привязки к IP.

[Владимир Муковоз]

zooks, преимущества всё таки есть. говнопровайдеров которые игнорят ttl достаточно мало. Так что это оправдано.

[Анатолий Сидоров]

zooks, Владимир Муковоз, точно ли сертификаты от LetsEncrypt выдаются без привязки к IP?
Просто на новом сервере разместил старые сертификаты, настроил nginx, прописал на локальной машине hosts на новый ip, но новый сервер при обращении по https пишет в лог:

*559 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking

Или это связано с тем, что браузер какие-то дополнительные проверки делает через свои сервисы, без участия моего hosts?

[Владимир Муковоз]

Анатолий Сидоров, ты сконфигурировал что-то неверно. Смотри внимательнее.

[Виктор Таран]

Анатолий Сидоров, 100% ты что- то намутил.
ДА и кстати не забыл сгенерировать dhparam?
Если будут проблеммы с классом сертификата то тестируй тут.
https://www.ssllabs.com/ssltest/analyze.html?d=www...
Конфги в студию.