-
Notifications
You must be signed in to change notification settings - Fork 2
Home
[GENERAL]
| Function | Description | Default value |
|---|---|---|
| SERVICE_ID | Идентификатор услуги | MYSERVICE_ID |
| ZONE | Список доменных зон (разделенных запятыми) | mydomain.ru, *.mydomain.ru, mydomain2.ru |
| ADMIN_EMAIL | E-mail администратора certbot | admin@mydomain.ru |
| DNS_SERVER | Список DNS серверов для опроса | 8.8.8.8 |
| TTL | Время жизни TXT записей | 10 |
| SLEEP | Время ожидания пока TXT запись подхватится публичными DNS серверами | 120 |
| LE_CONFIG_DIR | Путь к директории для хранения конфигураций и сертификатов LetsEncrypt | /etc/letsencrypt |
| CERTBOT | Путь к certbot | /usr/local/bin/certbot |
| LE_LOG | Путь к логам certbot | /var/log/letsencrypt/letsencrypt.log |
LE_CONFIG_DIR полезен в том случае, когда для некоторых ресурсов надо выписывать сертификаты по http challenge, а некоторые по dns challenge. В таком случае для dns challenge можно указать путь скажем /etc/letsencrypt-dns, тогда будет создана эта директория и аккаунты, конфиги, сертификаты для dns challenge будут храниться там.
[WEBSERVER]
| Function | Description | Default value |
|---|---|---|
| ENABLED | Флаг активации опции | false |
| TEST_CONFIG | Команда тестирования конфигуарции веб-сервера | /usr/sbin/nginx -t |
| RELOAD_CONFIG | Команда перезапуска веб-сервера | /usr/sbin/nginx -s reload |
[SMTP]
| Function | Description | Default value |
|---|---|---|
| ENABLED | Флаг активации опции | false |
| SERVER | Адрес сервера | 127.0.0.1 |
| PORT | Порт сервера | 25 |
| USERNAME | Логин | None |
| PASSWORD | Пароль | None |
| FROM | Исходящий адрес почты | robot@mydomain.ru |
| TO | Реципиент (разделенные запятыми) | admin@mydomain.ru, security@mydomain.ru |
Если MTA без аутентификации, то оставьте пустыми значения USERNAME и PASSWORD.
[SLACK]
| Function | Description | Default value |
|---|---|---|
| ENABLED | Флаг активации опции | false |
| WEBHOOK | Вебхук для входящих сообшений | None |
| USE_NOTIFY | Нотификация на канале | true |
WEBHOOK можно найти на странице регистрации бота в Features -> Incoming webhooks.
[TELEGRAM]
| Function | Description | Default value |
|---|---|---|
| ENABLED | Флаг активации опции | false |
| TOKEN | Токен бота | None |
| CHAT_ID | Идентификатор чата | None |
Чтобы найти CHAT_ID надо отправить GET запрос на https://api.telegram.org/botXXX:YYYY/getUpdates, где XXX:YYYY это токен бота. Чтобы узнать CHAT_ID группы надо добавить бота в группу и отправить сообщение /my_id @mybotname.
[POSTHOOK]
| Function | Description | Default value |
|---|---|---|
| ENABLED | Флаг активации опции | false |
| SCRIPT | Путь до исполняемого скрипта | None |
POSTHOOK позволяет в конце запустить ваш скрипт. Может пригодится, если например захотите синхронизировать сертификаты на другие сервера.
[LOG]
| Function | Description | Default value |
|---|---|---|
| LOG_FILE | Файл журнала | main.log |
Директорией расположения LOG_FILE является директория в которой расположен main. Так что надо указывать только имя файла.
[GENERAL]
| Function | Description | Default value |
|---|---|---|
| SERVICE_ID | Идентификатор услуги | MYSERVICE_ID |
| ZONE | Список доменных зон (разделенных запятыми) | mydomain.ru, *.mydomain.ru, mydomain2.ru |
| ADMIN_EMAIL | E-mail администратора certbot | admin@mydomain.ru |
| DNS_SERVER | Список DNS серверов для опроса | 8.8.8.8 |
| TTL | Время жизни TXT записей | 10 |
| SLEEP | Время ожидания пока TXT запись подхватится публичными DNS серверами | 120 |
| LE_CONFIG_DIR | Путь к директории для хранения конфигураций и сертификатов LetsEncrypt | c:\\letsencrypt |
| CERTBOT | Путь к certbot | c:\\certbot\\bin\\certbot.exe |
| LE_LOG | Путь к логам certbot | c:\\certbot\\log\\letsencrypt.log |
[WEBSERVER]
| Function | Description | Default value |
|---|---|---|
| ENABLED | Флаг активации опции | false |
| TEST_CONFIG | Команда тестирования конфигуарции веб-сервера | c:\\nginx\\sbin\\nginx -t |
| RELOAD_CONFIG | Команда перезапуска веб-сервера | c:\\nginx\\sbin\\nginx -s reload |
| Key | Description |
|---|---|
| -h | Справочник |
| -v | Показывать информационные сообщения |
| -t | Тестовый запуск (сертификат не выписывается) |
| -n | Выписать новый сертификат |
| -a | Добавить/заменить данные аутентификации |
По-умолчанию приложение обновляет сертификаты. Так что первый запуск следует производить с ключом -n.
Обновите операционную систему. Актуальная версия 21H1. Версию можно посмотреть в "пуск→параметры→система→о системе". Если обновлений нет, но версия не актуальная, то запустите powershell от имени администратора и выполните следующие команды:
Stop-Service -Name wuauserv
Remove-Item HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Recurse
Start-Service -Name wuauserv
Повторите операцию обновления.
Обновите корневой сертификат удостоверяющего центра.
Скачайте сертификат: https://letsencrypt.org/certs/isrgrootx1.pem и https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте сертификат и нажмите "Установить сертификат":
- Расположение хранилища: локальный компьютер
- Хранилище сертификатов: автоматически выбрать хранилище на основе типа сертификата
Перезагрузите компьютер.
Проверье версию MacOS. Последняя версия Big Sur 11.6. Если у вас версия старее, то обновите операционную систему. Это помогает в 80% случаев.
Если обновление не помогло, то надо попробовать обновить корневой сертификат удостоверяющего центра.
Скачайте сертификат: https://letsencrypt.org/certs/isrgrootx1.pem и https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте утилиту "Связка ключей (Keychain)" и перетащите сертификат в раздел "Система (System)".
В разделе "Система (System)" найдите сертификат "ISG Root X1" и кликните два раза по нему. Откройте меню "Доверие (Trust)" и в "Параметры использования сертификата" поставьте значение "Всегда доверять (Always Trust)".
Перезагрузить компьютер.
Если проблема проявляется только в Google Chrome, то очистите кэш и куки браузера за все время. После чего, если зайти на сайт и нажать на кнопку "дополнительно" должна появится ссылка "продолжить небезопасно" по нажатию на который страница должна открыться.
Обновите операционную систему или просто обновите пакет ca-certificates.
Если обновление не доступно, то надо удалить цепочку "DST Root CA X3":
trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
update-ca-trust extract