| |
| let_s_encrypt_certbot_ssl_with_haproxy [2019/12/02 04:26] – 만듦 koov | let_s_encrypt_certbot_ssl_with_haproxy [2020/02/21 07:01] (현재) – koov |
|---|
| |
| ''http-01-port=8888'' 옵션을 사용함으로 인해서 이후 갱신시에도 certbot이 8888로 수신 대기 상태를 시도합니다. | ''http-01-port=8888'' 옵션을 사용함으로 인해서 이후 갱신시에도 certbot이 8888로 수신 대기 상태를 시도합니다. |
| | |
| | ===== 인증서 HAProxy용 통합파일 구성 ===== |
| | |
| | 인증서 파일들이 생성된 이후 haproxy에 등록해서 사용할때 각각의 파일이 아닌 하나로 통합하여 등록해 사용하는경우 파일을 하나로 합쳐주는 작업이 필요하다. |
| | 본인은 아래 스크립트를 만들어서 활용한다. |
| | |
| | <WRAP prewrap> |
| | <code vim /etc/letsencrypt/copy_ssl.sh> |
| | #!/bin/bash |
| | # 갱신된 인증서 haproxy로 복제 |
| | cat /etc/letsencrypt/live/plex.koov.net/cert.pem /etc/letsencrypt/live/plex.koov.net/privkey.pem /etc/letsencrypt/live/plex.koov.net/chain.pem > /etc/haproxy/ssl/plex.koov.net.pem |
| | cat /etc/letsencrypt/live/allthatlinux.com/cert.pem /etc/letsencrypt/live/allthatlinux.com/privkey.pem /etc/letsencrypt/live/allthatlinux.com/chain.pem > /etc/haproxy/ssl/allthatlinux.com.pem |
| | cat /etc/letsencrypt/live/linuxdata.kr/cert.pem /etc/letsencrypt/live/linuxdata.kr/privkey.pem /etc/letsencrypt/live/linuxdata.kr/chain.pem > /etc/haproxy/ssl/linuxdata.kr.pem |
| | cat /etc/letsencrypt/live/nas.koov.net/cert.pem /etc/letsencrypt/live/nas.koov.net/privkey.pem /etc/letsencrypt/live/nas.koov.net/chain.pem > /etc/haproxy/ssl/nas.koov.net.pem |
| | |
| | # 생성한 후 haproxy 서비스 재기동 |
| | systemctl restart haproxy |
| | </code> |
| | </WRAP> |
| | |
| | 만들어진 스크립트는 인증서가 갱신될때 실행되어야 하기 때문에 아래와 같이 기본 설치된 certbot cron스크립트 내에 추가하도록 한다. |
| | |
| | <WRAP prewrap> |
| | <code vim /etc/cron.d/certbot> |
| | # /etc/cron.d/certbot: crontab entries for the certbot package |
| | # |
| | # Upstream recommends attempting renewal twice a day |
| | # |
| | # Eventually, this will be an opportunity to validate certificates |
| | # haven't been revoked, etc. Renewal will only occur if expiration |
| | # is within 30 days. |
| | # |
| | # Important Note! This cronjob will NOT be executed if you are |
| | # running systemd as your init system. If you are running systemd, |
| | # the cronjob.timer function takes precedence over this cronjob. For |
| | # more details, see the systemd.timer manpage, or use systemctl show |
| | # certbot.timer. |
| | SHELL=/bin/sh |
| | PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin |
| | |
| | 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew |
| | |
| | ### 이곳에 추가한다. |
| | 10 */12 * * * root /etc/letsencrypt/copy_ssl.sh |
| | |
| | </code> |
| | </WRAP> |
| | |
| | |
| | ===== 참조링크 ===== |
| | * https://stevenwestmoreland.com/2017/11/renewing-certbot-certificates-using-a-systemd-timer.html |
| | * https://wiki.debianusers.or.kr/index.php?title=Certbot |
| |
| |