Let's Encrypt и автоматические субдомены?

Question

[Azigar]

Я использую вот такую конструкцию для автоматических субдоменов:

server_name     mysite.com *.mysite.com;
     set $path       /var/www/mysite.com;
     set $subdomain  "www";

     if ($host ~* ^([a-z0-9-\.]+)\.mysite.com$) {
          set $subdomain $1;
     }

     set  $root_path  $path/$subdomain;
     root $root_path;

Субдомены работают идеально.
Установил certbot. Он дописал в мой конфиг домена вот такие строки:

listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/mysite.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/mysite.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
    if ($host = mysite.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

     listen  80;

     server_name        mysite.com *.mysite.com;
    return 404; # managed by Certbot
}

Но теперь субдомены перестали работать? Как вновь заставить их работать или это невозможно и для каждого субдомена нужно сочинять свой конфиг?

Comments

[Alexey Dmitriev]

1. через certbot можно просто получить сертификат без модицикации конфига - через certbot certonly
2. вам нужен wildcard сертификат, чтобы он покрывал субдомены. Letsencrypt это умеет, но там при первом выпуске сертификата прит валидации нужно будет создавать TXT DNS записи в вашей DNS зоне.

Answer 1

[ky0]

LE с некоторых пор умеет wildcard. Ну либо да - отдельные конфиги. Можно ещё в путь к SSL-файлам переменную добавить, равную имени хоста.

Comments

[Azigar]

По поводу переменных в пути в SSL-файлам, я получаю вот такую ошибку:

nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/$ssl/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/$ssl/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)

Т.е. получается, что nginx сразу загружает эти файлы, а не во время обращения к сайту.

[ky0]

Azigar, скорее всего у вас просто версия недостаточно свежая. Извините, что не упомянул про это - появилось оно в 1.15.9.

[Azigar]

спасибо, буду обновлять nginx.
И еще вопрос, а как правильно вставить переменную, например:

$ssl    "{$subdomain}."    # нужно добавить точку в конце

ssl_certificate /etc/letsencrypt/live/{$ssl}mysite.com/fullchain.pem; # managed by Certbot

вот так правильно будет?

[ky0]

Azigar, скобки не нужны. И я бы всё-таки поюзал просто имя хоста, замапив его как-то так:

map $ssl_server_name $ssl_domain_name {
        volatile;
        hostnames;
        default 'mysite.com';