Názory k článku HTTPS certifikát Let's Encrypt pomocí Apache a vestavěného modulu mod_md

Autor sice spomenul, ze po prvej aktualizacii certifikatu sa musi urobit reload sluzby, nespomenul ale, ze to treba naplanovat aj pravidelne. Po 3 mesiacoch sa sice certifikat obnovi, ale ak sa neurobi neplanovany restart, tak nebude aplikovany a teda ani funkcny.

Nie celkom rozumiem, preco to autor mod_md nechal v tomto stave. Ked uz inak nie, tak ten reload by to malo vyvolat automaticky.

priamo v dokumentacii je o tom napisany cely odstavec

https://github.com/icing/mod_md#how-to-manage-server-reloads

Ta řešení jsou všechna dost chabá... chtělo by to, aby šel nastavit přímo v md časový interval, kdy smí sám ze své vůle restartovat Apache.

Tak zrovna apache se reloaduje kazde rano sam o sobe, takze tam se to da pochopit.

Tak na Fedora/CentOS a pod. urcite nie. Reload je nutne urobit rucne alebo skriptom.

Po přečtění článku jsem byl plný naděje, že by tenhle modul mohl konečně vyřešit trápení, které mám se stávající správou certifikátů, a to totiž ten restart, a vidím v komentářích, že je to furt stejná pakárna. Ach jo.

Na hodně zatížených serverech, ze kterých jede stovky domén, dělá totiž i graceful restart dost peklo (všechny weby nedostupné třeba i minutu). Kdyby tenhle modul dokázal reloadnout cert bez restartu, hned bych se dal do instalace a konfigurace. Ale jestli stejně restart potřebuje, zůstanu u systému který jsem si pracně naprogramoval sám s použitím letsEncrypt, kdy teda holt jednou za týden udělám graceful restart (a rotuju logy). Škoda promarněné příležitosti.

19. 3. 2022, 12:00 editováno autorem komentáře

Nebylo by řešení dát před ty servery reverzní proxy, která bude dělat SSL offloading (a tedy řešit certifikáty), která bude umět vyměnit certifikát bez restartu – a netrápit tím Apache? nginx to předpokládám umí, nebo Caddy se umí o certifikáty starat úplně sám a nemusíte to ani nijak konfigurovat (můžete, když chcete).

Tak ak mate 100ky domen snad tam mate aj nejaky failover.

Mne to tedy nefunguje vůbec. Na challenge, kterou se to pokouší dělat (http://<site>/­.well-known/acme-challenge/<nejaky hash>) jim apache vrátí 403 Not found a hotovo. A to i když tam dám jenom DocumentRoot. Předtím jsem tam měl redirekci na https, na kterém to navíc jenom dělá pomocí proxy "ksicht" pro Javovskou aplikací zatím. U těch druhých dvou případů vlastně vůbec nevím, jestli tohle může fungovat.

Jak řešíte tls certifikáty pro vývojové servery?