Certbot: Buat PPA resmi untuk paket letsencrypt Ubuntu

:+1:

:+1:

:jempolan:

:+1:

cantik tolong?

Ya silahkan!

Ya silahkan.

+1

+1

+1

Ada banyak upaya yang dihabiskan untuk letsencrypt-auto dan tidak ada di sini. Apa yang sedang terjadi? Saya menemukan situasi ini benar-benar canggung, karena letsencrypt-auto dimaksudkan sebagai solusi sementara sampai kami dikemas. @hlieberman dan @fmarier menginvestasikan banyak waktu ke dalam deb dan kami sekarang membuang-buang waktu pada beberapa skrip "auto-magical" buatan sendiri yang pada dasarnya mencoba mengganti semua solusi pengemasan (dan, terlepas dari upaya keras, gagal total di dia). Ada banyak keluhan tentang betapa rumitnya klien dan saya pikir sudah jelas bahwa segala sesuatunya harus dikurangi daripada diperpanjang tanpa batas.

@pde - tolong jelaskan di atas dan berikan ETA pada PPA.

Untuk versi Ubuntu terbaru, paket di Debian tidak stabil seharusnya berfungsi dengan baik. Setelah kami mem-backport paket ke Debian jessie, membuatnya bekerja di Ubuntu 14.04 akan lebih mudah.

Ini tentu saja akan membutuhkan pengemasan sejumlah perpustakaan dependen juga.

+1 untuk PPA untuk menyediakan cara yang lebih tradisional/standar untuk menginstal perangkat lunak yang tidak dikemas.

Pembaruan yang kami dapatkan minggu lalu dari Harlan adalah bahwa berbagai pengelola debian telah melakukan pekerjaan yang baik untuk mem-backport semua dependensi python kami, tetapi pemblokir yang luar biasa adalah sphinx-doc untuk paket dokumen, dan itu akan menjadi usaha non-sepele. Tidak yakin apakah PPA secara signifikan berbeda atau lebih mudah.

Tidak bisakah gedung dokumen Sphinx dinonaktifkan sementara untuk paket PPA? Sebagai pengguna, saya baik-baik saja dengan harus online untuk memeriksa dokumentasi (sebenarnya saya lebih suka daripada membaca file HTML lokal di /usr/share/doc/).

jika itu hanya sphinx-doc gedung doc lalu di mana masalahnya?

• menyediakan 2 paket letsencrypt dan letsencrypt-doc
• berikan seorang pria letsencrypt.1 untuk letsencrypt_x.y.deb
• pra-buat dokumen sebagai HTML
  dan paket menjadi letsencrypt-doc_x.y.deb

alasan:
secara otomatis membuat dokumen itu bagus tetapi itu opsional
menghapus sphinx-doc untuk membangun dokumen tidak mencegah letsencrypt
untuk dibangun, dipasang, dan berfungsi yang diinginkan semua orang

Usulan @zwetan untuk memisahkan deb untuk aplikasi dan dokumentasi sudah dibuktikan dengan baik oleh banyak aplikasi lain, dari GIMP hingga LibreOffice. Ini menguntungkan pengembang, yang tidak perlu membangun kembali dokumentasi setiap kali ada peningkatan keamanan, dan memberi mereka kebebasan untuk memperbarui dokumentasi selama masa tenang aplikasi. Saya memuji ide itu.

Sudah ada letsencrypt di xenial (16,04 mendatang): http://packages.ubuntu.com/xenial/letsencrypt

Dokumen tampaknya menjadi deps opsional di sana.

maksud saya persis, beberapa server di prod hanya berguling dengan LTS -> patch keamanan -> LTS berikutnya
harus menunggu 16,04 LTS, ketika 14,04 LTS sudah bisa memiliki paket deb
hanya karena build doc bermasalah? ayo :)

Pembaruan terbaru adalah bahwa backport sphinx telah membuka blokir kemasan untuk Debian 8, dan PPA akan segera tersedia setelahnya.

@zwetan :+1: Saya tidak bisa menggunakan letsencrypt karena saya menggunakan 14,04 dan tidak ada repo resmi untuk 14,04

:+1:

:+1:

+1 Saya tidak akan pernah dalam hidup saya menjalankan letsencrypt-auto lagi....

Saya telah membuat PPA untuk Ubuntu Wily. Gunakan dengan risiko Anda sendiri; itu sebagian besar belum teruji saat ini.

https://launchpad.net/~letsencrypt/+archive/ubuntu/letsencrypt

@hlieberman dapatkah paket itu berjalan pada 14.0.4 alias TrustyThar atau dapatkah itu ditolak?

hanya pendahuluan, PPA tidak membuat direktori untuk konfigurasi di /etc dan /opt

Dan sekarang letsencrypt-auto gagal dengan masalah ketergantungan (urllib3, acme). Ini harus menjadi proses semilir yang sederhana, mengingat masalah yang dipecahkannya. Anda tidak ingin menghabiskan berjam-jam bertengkar dengan dependensi dkk, membuatnya terasa rapuh.

(PS: PPA tidak berfungsi dengan 14,04)

dari tes terbaru saya di Ubuntu 14.04.5 LTS
lebih mudah untuk mengabaikan PPA

lakukan saja instalasi "manual"

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
/opt/letsencrypt/letsencrypt-auto --help

(baris kedua adalah memaksa dependensi untuk menginstal)
ini telah bekerja dengan baik untuk saya di selusin server

Satu saran tambahan: Jika Anda merasa tidak nyaman dengan jumlah dependensi yang relatif besar, cukup buat instance lxc kecil (saat ini berukuran sekitar 350MB) dan ikuti instalasi manual yang disebutkan di atas:
lxc-create -n letsencrypt -t ubuntu

Untuk menggunakan sertifikat pada Host dan memungkinkan pengujian otomatis, cukup tambahkan dua pengikatan pengikatan ke konfigurasi Anda sebagai berikut (idenya adalah server web eksternal--baik di Host atau tinggal di wadah lain--akan mengambil perawatan ini):
lxc.mount.entry = /var/www/letsencrypt var/www/letsencrypt none bind 0 0
lxc.mount.entry = /etc/letsencrypt etc/letsencrypt none bind 0 0

(Tentu saja, Anda perlu memicu pembaruan yang disinkronkan/layanan server web dimulai ulang dari luar wadah _letsencrypt_, tetapi cukup nyaman ...)

secara pribadi saya tidak keberatan dengan ketergantungannya

yang benar-benar saya butuhkan adalah otomatisasi sehingga saya dapat menambahkan skrip penyediaan
untuk mengetahui apakah saya ingin menambahkan dukungan Let's Encrypt di server
itu akan berfungsi, telah diuji dan membutuhkan waktu sekitar 10 menit untuk pengaturan

Banyaknya ketergantungan merupakan masalah bagi saya karena saya terbatas pada sumber daya.

Jika ada minat dalam wadah, saya dapat mengumpulkan wadah Docker yang akan melakukan pekerjaan dengan sangat cepat. Tampaknya ada beberapa pekerjaan untuk ini di hub Docker, tetapi tampaknya ditinggalkan/tua.

Ini berarti akan sesederhana docker run -v/etc/letsencrypt:/etc/letsencrypt -p80:80 -p443:443 letsencrypt <FQDN> untuk menghasilkan sertifikat.

EDIT: Di sini Anda semua orang. https://hub.docker.com/r/samyaple/certbot/
Ini akan menarik sekitar 250MB ke bawah termasuk gambar dasar. Saya sedang berusaha mengurangi jejak itu sekarang. Ini hanya implementasi kasar dalam beberapa menit. Pembuatannya otomatis sehingga Anda dapat melihat dengan tepat apa yang sedang dibangun, tidak ada bisnis yang lucu.

Saya sangat senang untuk mendukung ini di bawah spanduk letsencrypt jika itu diinginkan.

:+1:

Bagi mereka yang tertarik, saya memiliki sedikit peran Ansible yang terhubung untuk mengotomatiskan instalasi sertifikat untuk situs Ubuntu saya. Saat ini sangat terbatas, hanya untuk fungsionalitas yang saya butuhkan, PR dipersilahkan jika ada yang ingin menggunakannya juga.

Peran tersebut menggunakan klien resmi dari git dan melakukan instalasi/pembaruan sertifikat dalam mode certonly .

https://galaxy.ansible.com/jaywink/letsencrypt/

Penugasan kembali harlan setelah pemindahan repo menghapusnya. Ini masih penting, tetapi sekarang akan menjadi prioritas yang lebih rendah daripada mengganti nama letsencrypt -> certbot di tempat-tempat di mana kita sudah dikemas.

👍

+1

+1

+1

+1

Akan menyenangkan jika PPA diperbarui dengan versi terbaru. Tertinggal di belakang - masih pada 0,4.1 tampaknya: https://launchpad.net/ubuntu/xenial/+package/letsencrypt

@larssn Itu bukan PPA - itu paket di repositori Ubuntu. Dua pertimbangan: Pertama, ada proses SRU [1] yang harus dilalui untuk mendapatkan pembaruan paket ke rilis Ubuntu. Kedua, paketnya ada di 'universe' jadi tidak didukung secara resmi oleh Ubuntu/Canonical.

[1] https://wiki.ubuntu.com/StableReleaseUpdates

(edit: tambahkan URL)

Mengerti.

Dalam hal apapun; masih mengharapkan pembaruan. :)

Teman-teman, ini bukan repositori "resmi", tetapi saya memiliki kredibilitas sebagai Pengembang Debian dan Anggota Ubuntu (dan PHP PPA saya digunakan oleh ribuan orang), jadi saya membuat PPA untuk certbot 0.8.x. Itu telah dibangun dari Xenial hanya saat ini, tetapi saya mungkin akan melihat lebih banyak backporting dari tumpukan ke Trusty jika saya menemukan waktu.

PPA ada di sini: https://launchpad.net/~ondrej/+archive/ubuntu/letsencrypt

baru saja mengujinya di ubuntu 16.04 berfungsi dengan baik, sudah menggunakan barang-barang Anda untuk php, Apache, dan mysql

@oerdnj Anda baru saja menyelamatkan hari saya sekali lagi. Terima kasih banyak atas pekerjaan Anda!

@oerdnj menurut Anda PPA Anda cukup andal sehingga kami harus mempertimbangkan untuk menunjuknya di generator instruksi kami?

wrt Trusty: Saya percaya harlan menjadi sedikit takut dengan set dependensi yang perlu dibangun untuk Trusty untuk menjalankan PPA yang andal. Tapi @jonathonf tampaknya telah membuat beberapa kemajuan di bidang itu, jadi ini mungkin masalah yang bisa ditangani.

@pde Sudah stabil. Saya sibuk dari waktu ke waktu dan seseorang mungkin melakukan ping ke saya atau mengisi masalah di pelacak gh saya di sini: https://github.com/oerdnj/deb.sury.org/issues

Tetapi saya cenderung melepaskan dan memperbaiki hal-hal penting dalam hitungan jam-hari dan hal-hal yang kurang penting dalam beberapa minggu.

Saya akan menghadiri beberapa konferensi selama bulan Oktober dan saya biasanya mengisi waktu kosong dengan pengemasan, jadi saya mungkin bisa menyelesaikan pengemasan Trusty. Tentu saja, jika saya sudah ada pekerjaan di bagian depan itu, saya akan dengan senang hati menerima petunjuk/tambalan/bantuan.

Sebagai alternatif, saya akan dengan senang hati membuat grup pengemasan "resmi" di launchpad dan mengundang lebih banyak orang ke dan menambahkan seseorang dari LE sebagai admin.

Tim pengemasan Debian melakukan pekerjaan dengan baik, jadi untuk Xenial sebagian besar hanya mem-backport/mengemas ulang paket yang ada. Untuk Trusty mungkin memerlukan beberapa modifikasi lagi, tetapi saya belum melihatnya.

Sebagai catatan, saya menggunakan PPA @jonathonf pada trusty dan semuanya berfungsi dengan baik, hanya perlu beberapa paket python-* yang diperbarui.

@pde Ada https://launchpad.net/~letsencrypt dan sepertinya ditinggalkan. Mungkin LE dapat meminta Canonical untuk memberikan seseorang dari LE akses administrator ke tim launchpad ini dan kemudian menambahkan saya dan @jonathonf , dan kami akan membuat repositori resmi untuk certbot di bawah namespace ini? Sepertinya pendekatan terbaik untuk menggabungkan upaya.

@oerdnj Sebuah repo certbot di bawah letsencrypt akan menyenangkan. Secara pribadi saya selalu mencari paket letsencrypt , dan akan bingung jika saya tidak dapat menemukan ti dengan mencari letsencrypt.

Saya telah memberikan @oerdnj kepemilikan atas organisasi ~letsencrypt.

Jika seseorang dari Letsencrypt ingin ditambahkan ke organisasi dan dijadikan pemilik, silakan ping saya.

Saya sekarang telah menyalin paket certbot ke ppa:letsencrypt/letsencrypt ? Saya akan melihat repositori terpercaya @jonathonf untuk memeriksa paket apa yang perlu di-backport untuk Ubuntu Trusty.

@floe Apakah ini https://launchpad.net/~jonathonf/+archive/ubuntu/letsencrypt repositori Terpercaya yang benar yang Anda gunakan?

Ya, itu yang benar. Dari sources.list :

deb http://ppa.launchpad.net/jonathonf/letsencrypt/ubuntu trusty main

Jika kita ingin membuat PPA Certbot resmi, saya pikir kita harus mengaturnya di https://launchpad.net/~certbot daripada ~letsencrypt karena Certbot tidak lagi menjadi proyek Let's Encrypt ( source1 , source2 ). ~certbot dimiliki oleh @hlieberman yang merupakan pengelola paket Debian kami.

Akankah ppa:letsencrypt/certbot menjadi pasangan yang lebih baik? Saya baik-baik saja dengan salah satu atau pindah ke @hlieberman ~certbot. Saya bahkan baik-baik saja dengan tidak melakukan pekerjaan sama sekali jika tidak diperlukan. Mari kita sepakati sesuatu dan bergerak maju, jadi ada repositori resmi.

Saya setuju memiliki PPA Certbot resmi akan sangat bermanfaat bagi pengguna. Bagaimana tepatnya kami ingin melakukan ini adalah sesuatu yang harus dibicarakan oleh para pengembang certbot inti. Kami mengadakan pertemuan setiap hari Rabu. Aku akan membicarakan ini dan menghubungi kalian setelah rapat.

@bmw @oerdnj @ArchimedesPi Saya pikir hal yang benar untuk dilakukan mungkin adalah mengurangi ppa:letsencrypt , idealnya dengan membuat launchpad mengarahkannya ke certbot , tetapi dengan cara lain jika perlu?

@oerdnj Senang bertemu Anda di sini lagi :) Sebenarnya saya baru saja menemukan utas ini dalam perjalanan backport ke trusty. Saya sudah mem-backport paket Debian untuk xenial pada bulan Juli tetapi hanya dua paket yang kami jalankan sekarang dalam produksi (https://launchpad.net/~trio-interactive/+archive/ubuntu/stable/+sourcepub/6825687/+listing-archive -ekstra & https://launchpad.net/~trio-interactive/+archive/ubuntu/stable/+sourcepub/6825689/+listing-archive-extra).

@oerdnj @pde @bmw Selain masalah penamaan PPA, siapa yang melakukan backport bersih dari Debian ke trusty? Dan di mana tempat terbaik untuk menyinkronkan upaya kami karena aplikasi PHP5 kami juga sangat menginginkan LE? ;)

Debian memiliki paket 0.8.1 yang di-backport ke jessie-backports sehingga ada backport yang sangat bersih dari sana ke xenial. Menurunkan dep dalam paket Debian untuk pyopenssl dan python-cryptography akan berarti python-acme dan python-certbot akan di-backport tanpa memerlukan hal lain. Namun, jika Anda melakukan ini, Anda sebaiknya hanya mem-backport paket yakkety.

Trusty masih membutuhkan tambalan untuk paket python-acme - semua yang lain dibangun dengan baik terhadap (kebanyakan) versi jessie-backport. Masih ada sejumlah besar paket perpustakaan dependensi yang diperbarui yang dapat memiliki efek knock-on yang entah apa.

@-semua menggunakan ppa:jonathonf/letsencrypt : ini akan segera hilang demi backport yang lebih bersih di ppa:jonathonf/certbot berdasarkan paket jessie-backport Debian. Saya juga mungkin akan sedikit mengubah PPA yang lebih baru untuk membersihkan backport xenial seperti di atas.

Sunting: PPA certbot membawa beberapa pustaka Python tambahan dari Jessie - ini membuat backporting langsung dari Sid jauh lebih mudah dengan biaya menyimpang dari tumpukan Trusty Python. Ini bukan masalah besar jika perpustakaan berada di universe .

@jonathonf Senang mendengarnya :) Bisakah Anda memberikan lebih banyak petunjuk tentang tambalan untuk "python-acme" di tepercaya? Untuk efek knock-on saya akan memiliki fase stabilisasi saat membawanya ke produksi dan tentu saja kami selalu perlu memecahkan server pengembangan ;) Bagaimana saya bisa membantu Anda dengan paket terpercaya atau siapa yang mengerjakannya?

@jonathonf Saat menguji paket ppa:jonathonf/certbot saya mendapatkan:
pkg_resources.DistributionNotFound: The 'python2-pythondialog>=3.2.2rc1' distribution was not found and is required by certbot
Tetapi dengan backport cepat tanpa perubahan sumber untuk itu ketergantungan klien bekerja sekarang: https://launchpad.net/~trio-interactive/+archive/ubuntu/unstable/+sourcepub/7045266/+listing-archive-extra

@all : Untuk membersihkan backporting dependensi python adalah masalah besar, karena kami perlu memutakhirkan beberapa paket Python yang disertakan dengan rilis distro. Itu dapat merusak alat Python lain dengan dependensi yang sama dan juga membuat beban pemeliharaan menjadi sedikit mimpi buruk keamanan, karena PPA perlu mengirimkan setiap pembaruan keamanan untuk semua dependensi yang di-backport. Ini adalah masalah nontrivial untuk pengiriman paket terpercaya! Bahkan jika Anda membangun pipa backporting dari xenial atau jessie, kami selalu harus sinkron dengan tim keamanan ... sementara kami mengacaukan tumpukan Python dalam rilis ;) Bagaimana menurut Anda?

Hm. Bisakah Anda mengunjungi versi dependensi yang diperlukan secara lokal di dalam paket certbot?

@bhat3 : jika anda mencari di debian.tar.gz untuk python-acme anda akan menemukan quilt patch. Saya cukup yakin saya mendapatkannya dari awal utas ini, tetapi saya tidak melihatnya setelah pemindaian cepat barusan.

@jonathonf saya coba lihat kemasannya hari ini, tapi belum janji ada waktu. Selain tambalan Anda, apa yang akan Anda lihat sebagai dependensi minimal untuk tepercaya, jadi kami tidak terlalu perlu dipusingkan dengan tumpukan Python tepercaya?
@oerdnj Mengetahui bahwa Anda cukup sinkron dengan petugas keamanan, apakah Anda tertarik untuk menyediakan paket tepercaya melalui PPA?

Itu tergantung berapa banyak kemasan yang ingin Anda buat. Deps dalam letsencrypt PPA asli saya adalah seminimal mungkin, tetapi membuat backport lebih lanjut dari Debian menjadi lebih sulit. Deps yang di-backport di PPA certbot lebih banyak/bercakupan luas tetapi membuat backport langsung jauh lebih mudah.

Jika pustaka Python ada di universe kita tidak perlu terlalu khawatir - tidak ada apa pun di tumpukan inti Ubuntu yang bergantung pada apa pun di universe (dan paket di universe tidak diperbarui sebagai hal yang biasa, bahkan untuk masalah keamanan).

@jonathonf Pemikiran yang bagus tentang kasus sudut "semesta" di Ubuntu ;) Sebenarnya saya tidak bisa melanjutkan upaya saya kemarin dan tidak ada kesempatan untuk minggu ini lagi :( Tapi saya berharap untuk melakukannya pada hari Senin atau setelah 7 November. Sampai saat itu :)

Kami hampir setahun sejak masalah ini pertama kali dibuat, dan masih belum menyetujui apa pun?

Bisakah kita mendapatkan momentum di sini? Satu cara atau lainnya.

Apakah https://launchpad.net/~jonathonf/+archive/ubuntu/certbot resmi seperti yang akan kita dapatkan?

@jonathonf dan semuanya - Saya bekerja sama dengan @hlieberman di ppa:certbot/certbot dan saya pikir saya memiliki sebagian besar deps build untuk trusty, xenial, dan yakkety. Satu-satunya hal yang hilang adalah sphinx terbaru dan saya harap akan ada solusi untuk itu.

@oerdnj Apakah sudah siap digunakan?
Saya mendapatkan "Kesalahan: sidik jari kunci penandatanganan tidak ada" saat mencoba menambahkannya.

Maaf belum, tapi akan selesai dalam ~minggu. Saya akan berangkat ke IETF besok dan saya akan memiliki waktu luang di sana untuk menyelesaikannya.

Jika hanya sebagai builddep saya memiliki PPA backport Sphinx yang dapat ditambahkan
sebagai ketergantungan PPA. Anda bisa menggunakannya, salin paket ke "dukungan"
PPA, atau backport paket yang sama.

J

Pada 9 Nov 2016 12:39, "Ondřej Surý" [email protected] menulis:

@jonathonf https://github.com/jonathonf dan semuanya - saya bekerja sama dengan
@hlieberman https://github.com/hlieberman di ppa:certbot/certbot dan saya
pikir saya memiliki sebagian besar deps build untuk trusty, xenial, dan yakkety. NS
satu-satunya hal yang hilang adalah sphinx baru-baru ini dan saya harap akan ada beberapa
solusi untuk itu.

—
Anda menerima ini karena Anda disebutkan.
Balas email ini secara langsung, lihat di GitHub
https://github.com/certbot/certbot/issues/1706#issuecomment -259405442,
atau matikan utasnya
https://github.com/notifications/unsubscribe-auth/AAiJCY1dmSHhspzOgNcT8tQu4XigyNJdks5q8b7ygaJpZM4Guho5
.

@oerdnj @jonathonf @hlieberman
Terima kasih atas pekerjaan Anda dalam hal ini.

Saya pikir kita semua bisa menunggu seminggu lagi.

@oerdnj @jonathonf Apakah ada yang bisa saya bantu di backport terpercaya dalam jam kerja saya?

@bhat3 Akan luar biasa, jika Anda dapat melakukan pengujian ekstensif tentang apa yang sekarang ada di ppa:certbot/certbot . Saya harus mengencangkan beberapa (Build-) Tergantung sebelum berhenti melempar kesalahan runtime, tetapi semuanya terlihat bagus sekarang.

JFTR ppa:certbot/certbot sekarang berisi paket yang dapat digunakan dengan hati-hati. Harap laporkan jika ada kerusakan di sini untuk saat ini.

@oerdnj Oke akan melakukan itu dan mengganti kemasan saya sendiri di server pengembangan kami dengan ppa:certbot/certbot . Tetapi selain alat Debian/Ubuntu standar, kami tidak menggunakan Python tetapi PHP Anda di sana, jadi saya tidak akan dapat menekankan kerusakan itu;)

Di Ubuntu-16.04-xeinal, saya terjebak pada 0.4.1 yang gagal memperbarui dengan kesalahan berikut:

PERINGATAN:letsencrypt.cli :Mencoba memperbarui sertifikat dari /etc/letsencrypt/renewal/gableroux.com.conf menghasilkan kesalahan tak terduga: 'server'. Melewatkan.

Setelah memutakhirkan, pembaruan sekarang berfungsi lagi, terima kasih! :D

python -mplatform

Linux-3.11.0-12-generic-x86_64-with-Ubuntu-16.04-xenial

letsencrypt --version

letsencrypt 0.4.1

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install --upgrade letsencrypt
letsencrypt --version

letsencrypt 0.9.3

letsencrypt renew --agree-tos 

Selamat, semua perpanjangan berhasil.

:jantung:

@oerdnj Sejauh ini terlihat bagus di server dev saya menggunakan paket terpercaya @jonathonf plus satu backport sendiri:

Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
  certbot letsencrypt python-acme python-certbot python-cffi-backend
  python-configargparse python-cryptography python-dialog python-dnspython
  python-idna python-ipaddress python-ndg-httpsclient python-openssl
  python-parsedatetime python-pkg-resources python-pyasn1 python-requests
  python-rfc3339 python-setuptools python-six python-urllib3
21 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,410 kB of archives.
After this operation, 398 kB of additional disk space will be used.
Do you want to continue? [Y/n]

Saya berhasil memperbarui sertifikat LE yang dibuat sebelumnya dengan 99 subdomain dan itu berfungsi dengan baik. Tes lebih lanjut akan mengikuti besok ...

Seperti yang dikatakan, saya agak skeptis dengan backporting dependensi penuh, karena LE sudah bekerja pada sistem yang sama tanpa memutakhirkan seluruh rantai ketergantungan;) Kalau tidak, saya senang akhirnya "mengaluskan" sistem kami :)

BTW jika Anda mengganti nama certbot/certbot PPA menjadi nama default (certbot/ppa), pengguna kemudian dapat menggunakan versi singkat dari nama tersebut, yaitu:

sudo add-apt-repository ppa:certbot

@oerdnj Tes selanjutnya untuk

/usr/bin/letsencrypt certonly --force-renewal --webroot -w /var/www/letsencrypt -d DOMAIN.TLD
An unexpected error occurred:
Bug in pythondialog: expected an empty output from u'infobox', but got: u'Error opening terminal: unknown.\n'Please see the logfile 'certbot.log' for more details.

Sementara saya mencatat setiap output dari skrip pembaruan itu dan mendapat pemberitahuan email di dalamnya, saya tidak menemukan certbot.log dan tidak dapat benar-benar men-debug-nya. Apakah Anda memiliki petunjuk tentang itu?

@bhat3 Anda harus menggunakan --noninteractive atau --quiet (yang menyiratkan --noninteractive ) jika Anda menjalankan certbot dari skrip cron.

(Saya akan mencari certbot.log di /var/log/, mungkin di /var/log/letsencrypt/? TBH Saya hanya memiliki letsencrypt.log di sana; certbot.log terlihat seperti sesuatu yang baru.)

bukankah certbot memperbarui upaya untuk memperbarui semua? saya menjalankan itu dan itu melakukan itu

@bhat3 apakah itu cronjob default seperti yang disediakan oleh paket?

@oerdnj Bukan itu milik sendiri dan sakelar --noninteractive tidak diperlukan sebelumnya dengan paket dari @jonathonf . Alasan cronjob ini sendiri adalah kita perlu me-restart Nginx jika pembaruan berhasil dan hal-hal seperti itu harus terjadi dalam jangka waktu yang tetap. Persyaratan terakhir dapat dilakukan di /etc/cron.d/certbot tetapi tidak yakin tentang interaksi dengan nginx -t && systemctl restart nginx .

@chrismccoy Dan bagaimana Anda me-restart server web Anda setelah pembaruan?

@mgedmin Terima kasih , ini berfungsi dengan sakelar. Tapi saya masih penasaran apakah certbot.log hanya masalah branding dan /var/log/letsencrypt/letsencrypt.log maksudnya, yang sepertinya tidak dibuat tanpa sakelar.

/usr/bin/letsencrypt certonly --noninteractive --force-renewal --webroot -w /var/www/letsencrypt -d DOMAIN.TLD
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Lihatlah pekerjaan tanaman baru, ia memiliki direktori kait

@oerdnj Maksud Anda saya dapat melakukan hook setelah pembaruan yang berhasil hanya yang kemudian menangani Nginx?

Panggilan certbot renew sekarang mencakup: /usr/bin/certbot -q renew --pre-hook '/bin/run-parts /etc/letsencrypt/pre-hook.d/' --post-hook '/bin/run-parts /etc/letsencrypt/post-hook.d/' --renew-hook '/bin/run-parts /etc/letsencrypt/renew-hook.d/'

Dan saya baru saja mengirim @hlieberman patch untuk bug Debian#838548

# cat /etc/letsencrypt/post-renewal.d/nginx 
#!/bin/sh
set -e
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
nginx -t -q && nginx -s reload
exit 0

@oerdnj , kami meminta @hlieberman secara khusus untuk tidak menambahkan direktori seperti itu di Debian demi kami mengembangkan solusi hulu yang dapat dimanfaatkan oleh semua distro. Apa pendapat Anda tentang menghapus direktori ini dan menunggu solusi dari kami?

Apakah versi paket certbot di PPA memiliki plugin konfigurasi Apache? Saya perhatikan itu tidak memiliki paket yang setara dengan python-letsencrypt-Apache seperti yang dilakukan Universe.

Saya membuat Certbot/Letsencrypt bekerja dengan versi dari Universe, tetapi ketika saya memutakhirkan menggunakan PPA saya mendapatkan kesalahan seputar plugin Apache. misalnya

$ sudo certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/XXXXXX.conf
-------------------------------------------------------------------------------
Renewal configuration file /etc/letsencrypt/renewal/XXXXXX.conf produced an unexpected error: 'Namespace' object has no attribute 'apache_enmod'. Skipping.
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

No renewals were attempted.

Additionally, the following renewal configuration files were invalid: 
  /etc/letsencrypt/renewal/XXXXXXXXX.conf (parsefail)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
0 renew failure(s), 1 parse failure(s)

dan

$ sudo certbot --apache
The requested apache plugin does not appear to be installed

Saya sudah mencoba menghapus file konfigurasi (berganti nama /etc/letscrypt) tetapi tidak ada perbaikan. Untungnya mudah untuk menurunkan versi ke 0.4.1.

@bmw Terlalu jujur ​​saya benar-benar menyambut integrasi Debian di sini dan ingin mengkonsolidasikannya dari skrip BASH cron'ed kami sendiri. Apa yang ingin Anda lakukan sebagai solusi agnostik hulu dan distro ... dan berapa lama waktu yang dibutuhkan untuk mengirimkannya?

Ada begitu banyak solusi mengerikan di tempat terbuka mengenai pembaruan dan interaksi yang diperlukan dengan layanan menggunakan sertifikat, sehingga saya sangat menyukai @oerdnj dkk memberikan solusi waras yang dapat kami

@bmw saya sepenuh hati tidak setuju. Peregangan Debian sedang memasuki periode beku dan jika Anda tidak ingin semua orang membuat skrip mereka sendiri selama 2+ tahun ke depan, integrasi Debian adalah hal terbaik yang bisa Anda dapatkan saat ini, karena ia terkendali dan kapan ( dan jika) Anda menyediakan suku cadang resmi yang setara, akan cukup mudah untuk bermigrasi.

Mungkin saya terlalu lama berkecimpung di bidang ini, tetapi menunggu solusi yang sempurna biasanya satu-satunya jalan menuju bencana, karena orang akan mulai kreatif.

Saya akan sangat menghargai jika @hlieberman akan mengintegrasikan solusi run-parts ke dalam paket utama Debian karena memberikan solusi yang berfungsi untuk peregangan Debian sekarang dan terintegrasi dengan baik dengan cara kerja internal Debian.

Hai @oerdnj , dua poin:

1. Karena kami mengontrol upstream dan memiliki pipeline yang cukup bagus dari rilis kami ke unstable dan testing , kami merasa ada waktu untuk mendaratkan patch di Certbot upstream yang berfungsi baik untuk Debian dan sebagian besar/semua distro lainnya , dan memasukkannya ke Debian. Itu dapat dengan mudah terjadi sebelum pembekuan Februari jika Anda mau; kirimkan saja PR atau dorong @hlieberman untuk melakukannya :)
2. Kami telah melakukan banyak percakapan tentang bagaimana mengatasi stretch freeze. Kami tidak berpikir Certbot cukup matang untuk disematkan pada versi tertentu selama 5+ tahun yang tampaknya orang coba terapkan untuk rilis stabil Debian. Kami masih mencoba mencari tahu apa yang harus dilakukan tentang itu. Di Ubuntu, kami akan melalui proses SRU untuk mendapatkan versi Certbot yang lebih baru ke dalam Xenial LTS, tetapi kami tidak terlalu optimis bahwa Debian akan mengambilnya. Rencana kami saat ini adalah meminta daftar debian-devel untuk memilih antara (1) berkomitmen untuk menerima rilis Certbot yang telah teruji ke dalam pembaruan Stretch setiap ~6 bulan; (2) meminta Debian untuk tidak mengirimkan Certbot dalam rilis stabil, dan sebagai gantinya mengandalkan memberikan instruksi backport kepada pengguna kami yang sedang kami lakukan dengan Jessie sekarang, dan kami merasa itu cukup waras.
3. Anda dipersilakan untuk bergabung dengan panggilan pengembang Certbot mingguan kami untuk membicarakan masalah ini dengan kami jika Anda mau! Saya pikir Brad mengirimi Anda undangan, tetapi jika tidak, lmk dan kami akan memperbaikinya.

@pde ok, masuk akal. Saya akan mencoba meluangkan waktu luang untuk memasak sesuatu yang mirip dengan run-parts , tetapi dalam kode python asli.

Ya, saya mendapat undangannya (saya akan menghubungi Anda di Freenode untuk waktu yang tepat). Saya tidak bisa menjanjikan apa pun di luar masalah khusus ini, karena hanya ada waktu terbatas dalam hari/minggu/bulan/tahun :)

Diedit: Mungkin itu pengalaman IETF dalam diri saya, tetapi saya sebenarnya lebih suka menjalankan kode daripada berbicara :). Jika saya hanya punya lebih banyak waktu untuk menghasilkan lebih banyak kode yang berjalan.

Alangkah baiknya jika plugin apache bisa ditambahkan juga :)

Hai, hanya ingin check-in kapan kami dapat melihat PPA? Saya hampir menginstal certbot-auto dalam waktu dekat untuk membawa kami melalui pembaruan pertama kami yang akan datang sejak pertama kali menggunakan Lets Encrypt. Cheers dan terima kasih untuk pekerjaan yang kalian lakukan untuk mendapatkan ini bersama-sama.

@jesseiqmi Anda sudah bisa mencobanya:

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install --upgrade letsencrypt
letsencrypt --version

Saya juga menggunakannya pada produksi, tetapi masih tanpa integrasi pembaruan yang tepat, tetapi produksi saya menguji skrip buatan rumah. Tetapi saya akan menyarankan setidaknya Anda selalu menguji versi baru pada sistem pengembangan dan pementasan sebelum Anda menyentuh produksi. Anda dapat tetap ramping dengan KISS hanya dengan menggunakan apt-mark hold PKGNAME , nonaktifkan PPA pada produksi hingga pengujian berikutnya diteruskan pada staging atau gunakan PPA sendiri untuk meneruskan paket antara sistem Anda dalam rantai QA.

PPA tampaknya tidak menyertakan plugin apa pun seperti certbot-Apache. Apa prosedur yang benar untuk menginstal ini?

@oerdnj ada pembaruan, atau hal-hal yang ingin Anda bantu?

@pde Jika Anda tahu cara memperbaiki dokumentasi dengan sphinx-build 1.2.2, ini mungkin membantu: https://launchpadlibrarian.net/301768953/buildlog_ubuntu-trusty-i386.python-certbot-nginx_0.9.3-1+certbot ~trusty+2_BUILDING.txt.gz

Tampaknya itu adalah bug kode di certbot_nginx/nginxparser.py , tidak ada hubungannya dengan Sphinx (selain itu Sphinx mencoba mengimpor modul untuk keperluan autodoc, yang gagal karena bug).

Pyparsing AFAICS ingin Anda menggunakan ... + restOfLine alih-alih ... + restOfLine() .

@mgedmin Terima kasih, saya akan mencoba menambalnya dalam paket dan dikirimkan sebagai https://github.com/certbot/certbot/pull/3989

Ok, jadi PPA sekarang berisi plugin Apache dan nginx. Terima kasih untuk tusukannya.

Terima kasih untuk semua pekerjaan Anda di sini @oerdnj! Apakah menurut Anda PPA berada pada titik yang dapat kami sarankan untuk rata-rata pengguna Certbot?

@bmw saya percaya begitu. Yah, terlepas dari masalah bahwa saya masih memiliki rundirs hack di repositori, saya tidak ingin melepaskannya - tetapi saya akan dengan senang hati menyiapkan jalur migrasi yang stabil setelah fitur tersebut mengenai certbot hulu.

@oerdnj Ya! Akan senang untuk akhirnya dikonsolidasikan pada rundirs "hack" tanpa perlu membayar PPA nanti :+1:
@bmw Saya dapat memahami kebutuhan Anda akan pendekatan Python hulu, tetapi ini tentang paket Debian di sini kan?! ;)

Maaf telah memposting pertanyaan saya di sini karena ada begitu banyak yang berlangganan masalah ini, tetapi saya tidak dapat menemukan jawaban yang bagus di tempat lain, jadi begini:

Ubuntu 16.04.2
Menginstal paket dengan apt install letsencrypt :
letsencrypt --version memberi saya 0.4.1 tetapi ketika menginstal dari git saya mendapatkan 0.12.0 - jadi kapan Ubuntu akan memperbarui paket, atau 0.41 hanya versi Ubuntu untuk 0.12.0 ?

Ubuntu tidak pernah memperbarui paket dalam versi yang dirilis (kecuali ketika mereka perlu memperbaiki bug yang serius -- lihat kebijakan Pembaruan Rilis Stabil mereka).

Ubuntu akan memperbarui paket untuk 16,04 saat dan ketika melewati proses SRU. Paket Ubuntu tidak ditautkan ke git repo.

Anda lebih baik menggunakan PPA, kemudian apt-get install letsencrypt akan menginstal versi paket terbaru.

Kecuali Anda menginginkan versi git terbaru, dalam hal ini lakukan apa yang Anda lakukan.

@jonathonf Saya menginstal PPA dalam masalah ini, tetapi tidak ada perbedaan. :/

Saya tidak berpikir Anda melakukannya. ;)

Coba yang ini: https://launchpad.net/~certbot/+archive/ubuntu/certbot

@jonathonf Luar biasa! Merindukan itu.

Lantas, apakah ini akan dipertahankan? Saya perhatikan itu "semi-resmi". Juga, apakah ini akan menginstal semua dependensi yang diperlukan? Menurut saya versi Git menginstal lebih banyak paket ...

Hai semua, dapatkah saya menggunakan PPA yang dikutip https://launchpad.net/~certbot/+archive/ubuntu/certbot
?

Itu aman, andal, dan diperbarui?

Adapun semua PPA, ini adalah panggilan Anda.

Namun, @oerdnj adalah

Jika Anda memercayainya, Anda bisa memercayai PPA-nya.

Menurut saya versi Git menginstal lebih banyak paket ...

Versi git menyiapkan virtualenv Python untuk membangun perangkat lunak dan menginstal semua dependensi terkait secara lokal. PPA melakukan ini di belakang layar sehingga ada lebih sedikit paket hasil akhir.

PPA ini siap digunakan! Kami akan memperbarui certbot.eff.org untuk memberi tahu orang-orang agar menggunakannya lebih dari certbot-auto atau paket Ubuntu saat ini (lihat certbot/website#198). Kami akhirnya bisa menutup masalah ini.

@hlieberman , @oerdnj : dapatkah Anda menghapus "(semi-resmi)" dari judul PPA?

Adakah peluang untuk mengubah nama PPA menjadi ppa sehingga orang dapat menjalankan sudo add-apt-repository ppa:certbot alih-alih sudo add-apt-repository ppa:certbot/certbot ? Ini disebutkan dalam komentar ini: https://github.com/certbot/certbot/issues/1706#issuecomment -260585028

Kapan PPA akan diperbarui? Versi 12 telah keluar selama 13 hari.

saya cukup yakin Anda memerlukan awalan untuk ppa sehingga ia tahu pengguna dan repo mana itu juga, atau ia tidak akan tahu repo mana dalam nama pengguna itu untuk dipilih, saya mungkin salah, orang lain dapat bergabung, dari semua ppa saya gunakan none hanya memiliki awalan.

dikirim dari iPhone saya

Pada Mar 15, 2017, at 05:18, Geoffrey Fairchild [email protected] menulis:

Saya suka saran @elyscape .

—
Anda menerima ini karena Anda disebutkan.
Balas email ini secara langsung, lihat di GitHub, atau matikan utasnya.

@elyscape Itu akan memaksa semua orang yang sudah menggunakan ppa untuk mengubah konfigurasi mereka hanya untuk estetika, jadi maaf, tidak, itu bukan pilihan pada tahap ini.

@chrismccoy , ppa diasumsikan repo jika Anda hanya menentukan pengguna untuk PPA.

user@ubuntu-device:~$ sudo add-apt-repository ppa:certbot
Cannot add PPA: 'ppa:~certbot/ubuntu/ppa'.
The team named '~certbot' has no PPA named 'ubuntu/ppa'
Please choose from the following available PPAs:
 * 'certbot':  Certbot PPA (semi-official)
 * 'certbot-build':  Certbot Build PPA (don't use this, use ppa:certbot/certbot)

Saat saya menulis ini, @oerdnj menjawab, jadi intinya sekarang diperdebatkan :)

PPA bernama 'ppa' saja dapat ditambahkan, seperti yang dikatakan @elyscape , dengan perintah apt-add-repository dipersingkat, tetapi ini benar-benar hanya pelepasan sepeda pada saat ini. Ini adalah PPA certbot untuk proyek certbot dan sembilan karakter tambahan tidak terlalu berat.

Dalam hal pembaruan, 0,12 belum mendarat di Debian (bahkan tidak sid atau eksperimental). Setelah itu, dan telah diperdebatkan dengan tepat, itu harus masuk ke PPA:

Ini adalah PPA untuk paket yang disiapkan oleh Debian Let's Encrypt Team dan di-backport untuk Ubuntu.

Saya berasumsi Anda menginginkan paket yang diuji dan berfungsi untuk digunakan? :)

--edit
Dua pembaruan lainnya saat mengetik ... meh, saya tetap memposting. :P

@enoch85 Apakah ada yang rusak untukmu? #4233 mengganggu, tapi hanya itu.

Saya biasanya mengikuti alur kerja @hlieberman dan dia tampaknya belum punya waktu untuk memperbarui paket Debian, dan saya tidak ingin menginjak kakinya.

Saya dapat menarik tambalan dari #4243 di atas 0,11.1 jika ini memberikan masalah bagi lebih banyak orang yang menggunakan PPA ini, tetapi saya tidak benar-benar mengikuti pandangan dunia "versi baru hanya demi versi baru".

@bmw "(semi-resmi)" dihapus. Jika Anda memiliki saran lain untuk judul atau deskripsi, saya akan dengan senang hati mengubahnya.

@oerdnj Tidak, belum tapi mungkin segera, karena saya mengonversi ke PPA ini dari versi git yaitu 12 dan saya mendapat peringatan tentang sertifikat yang dihasilkan dengan 12. Akan luar biasa dengan pembaruan. Dan seperti biasa, kamu keren!

biasanya berapa lama untuk mendapatkan pembaruan dari pengelola launchpad, saya melihat certbot/certbot di launchpad berada di 0.11.1 dan 0.12 keluar di github.com

@chrismccoy Baca komentar oleh pengelola PPA tiga komentar kembali dari Anda, yaitu https://github.com/certbot/certbot/issues/1706#issuecomment -286890691.

@oerdnj saya berakhir di sini khusus karena #4233. Saya hanya satu orang dan ini adalah proyek pribadi yang sederhana, tetapi saya menantikan rilis 0.12.

Mendapatkan ini ketika mencoba menginstal sertifikat baru dengan Certbot 12 dari PPA dalam masalah ini. Tidak tahu apakah itu bug Let's Encrypt atau sesuatu dengan PPA. Juga melaporkannya di sini: https://community.letsencrypt.org/t/ubuntu-14-04-with-certbot-auto-failing-tls-sni-challenge-with-Apache/33439/2

tls-sni-01 challenge for cloud.domin.com
/usr/lib/python2.7/dist-packages/OpenSSL/rand.py:58: UserWarning: implicit cast from 'char *' to a different pointer type: will be forbidden in the future (check that the types are as you expect; use an explicit ffi.cast() if they are correct)
  result_code = _lib.RAND_bytes(result_buffer, num_bytes)
Waiting for verification...

Sertifikat saya dibuat dengan benar, tetapi saya pikir seseorang harus melihat ke dalam pesan peringatan python.

@oerdnj Maaf mengganggu Anda, tetapi apakah ada cara saya bisa mengikuti kemasan versi baru? yaitu ketika paket baru akan/bisa siap.

Saya sedang menunggu paket baru (v0.14.x) sehingga saya dapat memperbarui sertifikat secara otomatis menggunakan Cloudflare dan DNS auth.

@shaneog Tidak ada rencana karena ini berdasarkan "waktu luang sekarang" (kecuali akan ada bug kritis). Namun pembaruan ke 0.14.1 tampaknya sebagai pembaruan sederhana, jadi saya mengunggah build sekarang.

Terima kasih!

Karena crontab yang dibuat dengan menginstal dari PPA tidak menyertakan bit /bin/run-parts lagi, apa cara yang disarankan untuk menentukan kait pembaruan?

Untuk saat ini, saya hanya mengubah skrip /etc/cron.d/certbot saya kembali ke apa yang dimiliki @oerdnj beberapa bulan yang lalu (saya menggunakan Ubuntu 16.04):

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --pre-hook '/bin/run-parts /etc/letsencrypt/pre-hook.d/' --post-hook '/bin/run-parts /etc/letsencrypt/post-hook.d/' --renew-hook '/bin/run-parts /etc/letsencrypt/renew-hook.d/'

...dan meletakkan skrip hook saya di direktori tersebut. Apakah ada cara yang lebih baik untuk melakukan ini?

Itu tergantung pada apa yang ingin Anda capai. Ada dua opsi utama, tetapi pastikan Anda membaca peringatan yang saya tempatkan di bagian bawah posting ini .

File konfigurasi global

Anda bisa mendapatkan perilaku yang mirip dengan solusi run-parts dengan memasukkan kait di file konfigurasi Certbot . File Anda di /etc/letsencrypt/cli.ini dapat terlihat seperti:

pre-hook = /bin/run-parts /etc/letsencrypt/pre-hook.d/
post-hook = /bin/run-parts /etc/letsencrypt/post-hook.d/
renew-hook = /bin/run-parts /etc/letsencrypt/renew-hook.d/

Satu-satunya perbedaan perilaku antara ini dan crontab sebelumnya adalah kait ini terkadang juga berjalan saat mendapatkan sertifikat dengan subperintah Certbot lainnya seperti certbot certonly , certbot run , certbot (tanpa subperintah ), dll. Pengait pra dan pasca akan selalu berjalan jika sertifikat diperoleh, sedangkan pengait pembaruan hanya dijalankan jika memperbarui sertifikat di jalur yang ada.

File konfigurasi sertifikat

Pilihan lain adalah mendefinisikan kait per sertifikat. Ini memungkinkan Anda untuk menjalankan kait yang berbeda tergantung pada sertifikat. Saat Anda mendapatkan sertifikat, kait yang Anda gunakan untuk mendapatkan sertifikat itu disimpan di /etc/letsencrypt/renewal/domain.conf . Saat Anda menjalankan certbot renew , kait ini akan otomatis dijalankan kembali saat sertifikat diperbarui. Anda juga dapat mengedit file-file ini secara manual dengan menempatkan kait di bawah header bagian [renewalparams] menggunakan sintaks yang sama seperti yang saya sertakan di atas.

Peringatan

1. Kedua opsi ini tidak kompatibel. Kait yang ditempatkan dalam file konfigurasi global diperlakukan sama seperti jika disertakan pada baris perintah yang menggantikan nilai yang ditemukan dalam file konfigurasi untuk sertifikat.
2. Metode apa pun yang Anda gunakan, pastikan Anda menjalankan certbot renew --dry-run setelah mengedit file untuk memastikan semuanya masih berfungsi dengan baik.

Sempurna, file konfigurasi global persis seperti yang saya butuhkan, terima kasih!

Jadi apa status sebenarnya dari kait pembaruan? Aneh bagaimana ini menjadi sangat berantakan. Pertama, itu adalah cronjob yang memanggil bagian di direktori yang berbeda, lalu file cli, dan sekarang semua yang saya lihat dengan instalasi bersih adalah direktori, karena cli tidak lagi menyimpan info apa pun tentangnya.
Adakah yang bisa memimpin certbot dev, tolong beri komentar yang jelas dengan petunjuk di file konfigurasinya? Seberapa sulitkah itu? Sebagai contoh, silakan periksa bagaimana mereka melakukannya untuk CSF/LFD: https://Gist.github.com/skt-bford/4987434

Saya setuju ini sangat membingungkan dan ada banyak informasi yang bertentangan atau ketinggalan zaman tentang ini. Pemahaman saya adalah bahwa praktik terbaik saat ini adalah menggunakan --deploy-hook (yang lebih baik daripada --renew-hook ) menggunakan baris perintah certbot, dan itu menyebabkannya menyimpan info kait ke domain di /etc /letsencrypt/renewal, sehingga hook akan dijalankan setiap kali secara otomatis. Saya pikir itu dianggap sebagai solusi yang lebih disukai daripada mengedit /etc/letsencrypt/cli.ini secara langsung, dan itu juga memiliki keuntungan karena memungkinkan Anda memiliki kait yang berbeda untuk sertifikat yang berbeda.

Ini adalah info terbaik yang saya temukan di dalamnya: https://community.letsencrypt.org/t/certbot-dovecot-postfix-certificate-renewal-issue/72226/11

Saya setuju ini sangat membingungkan dan ada banyak informasi yang bertentangan atau ketinggalan zaman tentang ini.

ya, membingungkan (!)... Tapi link anda juga membingungkan dan isinya tidak dapat dipercaya....

Hi semua, bisa beberapa ahli untuk membersihkan dan meringkas? Ekspresikan "ringkasan yang andal untuk tahun 2020" .

Nah, tentang judul edisi ini, "PPA untuk UBUNTU", ringkasannya ada, sepertinya sempurna!
https://certbot.eff.org/lets-encrypt/ubuntubionic-nginx

@oerdnj Saya ingin tahu apa yang diperlukan untuk mendapatkan plugin certbot + dns yang diperbarui di repo saat ini? Khususnya karena certbot 1.2 menambahkan dukungan untuk token Cloudflare DNS-01 cakupan terbatas, yang merupakan peningkatan keamanan besar dibandingkan cara lama yang memerlukan kunci API global

https://github.com/certbot/certbot/milestone/81?closed=1

Jadi apa status sebenarnya dari kait pembaruan?

Saya tidak berpikir ini adalah masalah yang tepat untuk membahas itu. Masalah _closed_ ini adalah tentang repositori yang tepat untuk menginstal alat certbot - yang tampaknya sama sekali tidak terkait dengan kueri Anda.

Jadi apa status sebenarnya dari kait pembaruan?

Saya tidak berpikir ini adalah masalah yang tepat untuk membahas itu. Masalah _closed_ ini adalah tentang repositori yang tepat untuk menginstal alat certbot - yang tampaknya sama sekali tidak terkait dengan kueri Anda.

Yah, saya hanya melanjutkan apa yang ditanyakan oleh drawcking, karena jawaban untuk itu sebenarnya tidak berhasil dalam kasus saya. Yang ada hubungannya dengan paket LE ubuntu (yang tidak mutakhir) ..