Почему не работает certbot?

Question

[DVoropaev]

В качестве web-сервера - nginx
Пытаюсь обновить уже который раз. Nginx перезапускаю.
Но когда захожу на сайт - браузеры ругаются на старый сертификат

certbot certonly --standalone -d login.(*****).ru
Saving debug log to /var/log/letsencrypt/letsencrypt.log Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org Cert not yet due for renewal
You have an existing certificate that has exactly the same domains or certificate name you requested and isn't close to expiry. (ref: /etc/letsencrypt/renewal/login.(*****).ru.conf)
What would you like to do? -------------------------------------------------------------------------------
1: Keep the existing certificate for now
2: Renew & replace the cert (limit ~5 per 7 days) -------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2 Renewing an existing certificate Performing the following challenges: tls-sni-01 challenge for login.(*****).ru /usr/lib/python2.7/dist-packages/OpenSSL/rand.py:58: UserWarning: implicit cast from 'char *' to a different pointer type: will be forbidden in the future (check that the types are as you expect; use an explicit ffi.cast() if they are correct)
result_code = _lib.RAND_bytes(result_buffer, num_bytes) Waiting for verification...
Cleaning up challenges Generating key (2048 bits):
/etc/letsencrypt/keys/0004_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0004_csr-certbot.pem

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/login.(*****).ru/fullchain.pem.
Your cert will expire on 2018-11-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew all of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Answer 1

[fluffybear]

покажите, как в nginx сертификат прописан? должно быть что-то вроде

ssl_certificate /etc/letsencrypt/live/ваш_домен/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ваш_домен/privkey.pem;

Answer 2

[Radjah]

> Пытаюсь обновить
Не вижу в команде ключ renew

Comments

[Максим]

Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Вот в этом месте подразумевается renew

Answer 3

[Максим]

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/login.(*****).ru/fullchain.pem

Перевыпуск сертификата проходит успешно! В этом месте пишется, что сертификат сохранён в файл
/etc/letsencrypt/live/login.(*****).ru/fullchain.pem
И именно этот файл должен быть прописан у Вас в конфиге nginx. Как писали ранее, примерно так

ssl_certificate /etc/letsencrypt/live/login.(*****).ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/login.(*****).ru/privkey.pem;

Answer 4

[vlarkanov]

Если в конфиге прописан верный путь - нужно сделать systemctl reload nginx (ну или /etc/init.d/nginx reload). Буквально вчера обновлял, задался тем же вопросом, что и автор)

Comments

[hx510b]

насколько я заметил, cetbot сам дергает nginx
т.е. ничего больше делать обычно не надо. может прав не хватало?