Certbot: Ubuntu letsencrypt 패키지용 공식 PPA 만들기

:+1:

:+1:

:엄지손가락:

:+1:

예쁘다 제발?

예, 부탁합니다!

예, 부탁합니다.

+1

+1

+1

letsencrypt-auto 에 많은 노력을 기울였으며 여기에는 없습니다. 무슨 일이야? letsencrypt-auto 는 우리가 패키지를 받을 때까지 임시 해결책이었기 때문에 이 상황이 절대적으로 어색하다는 것을 알았습니다. @hlieberman 과 @fmarier 는 debs에 많은 시간을 투자했으며 이제 기본적으로 모든 패키징 솔루션을 대체하려고 시도하는 집에서 만든 "자동 마법" 스크립트에 시간을 낭비하고 있습니다. 그것). 클라이언트가 얼마나 터무니없이 복잡하다는 불평이 많았고, 무한히 확장되기보다는 축소되어야 하는 것이 당연하다고 생각했습니다.

@pde - 위에서 명확히 하고 PPA에 ETA를 제공하십시오.

최신 버전의 Ubuntu의 경우 Debian 불안정한 패키지가 제대로 작동합니다. 패키지를 Debian jessie로 백포트하면 Ubuntu 14.04에서 더 쉽게 작동할 것입니다.

물론 이것은 많은 종속 라이브러리도 패키징해야 합니다.

패키지되지 않은 소프트웨어를 설치하는 보다 전통적/표준화된 방법을 제공하는 PPA의 경우 +1입니다.

지난주 Harlan에서 받은 업데이트는 다양한 데비안 유지 관리자가 모든 파이썬 종속성을 백포팅하는 일을 훌륭하게 수행했지만 뛰어난 차단기는 doc 패키지에 대해 sphinx-doc 이었고 사소하지 않은 사업. PPA가 크게 다르거나 쉬운지 확실하지 않습니다.

PPA 패키지에 대해 Sphinx 문서 작성을 일시적으로 비활성화할 수 없습니까? 사용자로서 나는 문서를 확인하기 위해 온라인에 접속해야 하는 데 전혀 문제가 없습니다(사실 저는 /usr/share/doc/에서 로컬 HTML 파일을 읽는 것보다 선호합니다).

문서의 sphinx-doc 건물일 경우 어디에 문제가 있습니까?

• letsencrypt 및 letsencrypt-doc 2개 패키지 제공
• letsencrypt.1 에 letsencrypt_x.y.deb
• 문서를 HTML로 미리 빌드
  letsencrypt-doc_x.y.deb 로 패키지

이유:
자동으로 문서를 빌드하는 것은 좋지만 선택 사항입니다.
문서를 빌드하기 위해 sphinx-doc 를 제거해도 letsencrypt 방지되지 않습니다.
모두가 원하는 빌드, 설치 및 작동

응용 프로그램과 문서에 대한 debs를 분리하려는 @zwetan 의 제안은 김프에서 LibreOffice에 이르기까지 다른 많은 응용 프로그램에서 이미 잘 입증되었습니다. 보안 업그레이드가 있을 때마다 문서를 다시 빌드할 필요가 없는 개발자에게 도움이 되며 애플리케이션이 사용되지 않는 동안 문서를 자유롭게 업데이트할 수 있습니다. 아이디어를 칭찬합니다.

xenial 에 이미 letsencrypt가 있습니다(16.04 예정): http://packages.ubuntu.com/xenial/letsencrypt

문서는 선택적 deps인 것 같습니다.

정확히 말하자면 prod의 일부 서버는 LTS -> 보안 패치 -> 다음 LTS로만 롤링됩니다.
14.04 LTS에 이미 deb 패키지가 있을 수 있는 경우 16.04 LTS를 기다려야 함
문서 빌드가 문제가 있기 때문에? 컴온 :)

가장 최근 업데이트는 sphinx 백포트에 Debian 8용 포장이 해제되었으며 곧 PPA가 제공될 예정입니다.

@zwetan :+1: 14.04를 사용하고 있고 14.04에 대한 공식 저장소가 없기 때문에 letsencrypt를 사용할 수 없습니다.

:+1:

:+1:

+1 내 인생에서 다시는 letsencrypt-auto를 실행하지 않을 것입니다....

Ubuntu Wily용 PPA를 만들었습니다. 자신의 책임하에 사용하십시오. 현재로서는 대부분 테스트되지 않았습니다.

https://launchpad.net/~letsencrypt/+archive/ubuntu/letsencrypt

@hlieberman 은 해당 패키지를 14.0.4 별칭 TrustyThar에서 실행할 수 있습니까? 아니면 거부할 수 있습니까?

단지 주의, PPA는 /etc 및 /opt의 구성에 대한 디렉토리를 생성하지 않습니다.

이제 letsencrypt-auto가 종속성 문제(urllib3, acme)로 실패합니다. 해결되는 문제를 감안할 때 이는 간단한 간단한 프로세스여야 합니다. 의존성 et-al과 씨름하는 데 몇 시간을 보내고 싶지 않아 부서지기 쉽습니다.

(추신: PPA는 14.04에서 작동하지 않습니다)

Ubuntu 14.04.5 LTS에 대한 최신 테스트에서
PPA를 무시하는 것이 더 간단합니다.

"수동" 설치를 수행하십시오.

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
/opt/letsencrypt/letsencrypt-auto --help

(두 번째 줄은 종속성을 강제로 설치하는 것입니다)
이것은 12개의 서버에서 잘 작동했습니다.

한 가지 추가 제안: 상대적으로 많은 수의 종속성이 불편하다면 작은 lxc 인스턴스(현재 약 350MB 크기)를 만들고 앞서 언급한 수동 설치를 따르세요.
lxc-create -n letsencrypt -t ubuntu

호스트에서 인증서를 사용하고 자동화된 테스트를 허용하려면 다음과 같이 구성에 두 개의 바인드 마운트를 추가하기만 하면 됩니다. 이것에 주의):
lxc.mount.entry = /var/www/letsencrypt var/www/letsencrypt none bind 0 0
lxc.mount.entry = /etc/letsencrypt etc/letsencrypt none bind 0 0

(물론 _letsencrypt_ 컨테이너 외부에서 동기화된 갱신/웹 서버 서비스 재시작을 트리거해야 하지만 꽤 편리합니다...)

개인적으로 나는 의존성에 신경 쓰지 않는다

나에게 정말 필요한 것은 프로비저닝 스크립트를 추가할 수 있도록 자동화하는 것입니다.
서버에 Let's Encrypt 지원을 추가하고 싶은지 알아보기
작동하고 테스트되었으며 설정하는 데 약 10mn이 걸립니다.

리소스가 제한되어 있으므로 많은 수의 종속성이 문제입니다.

컨테이너에 관심이 있다면 매우 빠르게 작업을 수행할 Docker 컨테이너를 함께 던질 수 있습니다. Docker 허브에서 이에 대한 몇 가지 작업이 있는 것 같지만 버려진/오래된 것으로 보입니다.

이것은 인증서를 생성하는 것이 docker run -v/etc/letsencrypt:/etc/letsencrypt -p80:80 -p443:443 letsencrypt <FQDN> 만큼 간단하다는 것을 의미합니다.

편집: 여기 당신이 있습니다. https://hub.docker.com/r/samyaple/certbot/
기본 이미지를 포함하여 약 250MB를 끌어낼 것입니다. 나는 지금 그 발자국을 줄이기 위해 노력하고 있습니다. 이것은 몇 분 만에 대략적인 구현이었습니다. 빌드가 자동화되어 어떤 재미있는 비즈니스가 없는지 정확히 볼 수 있습니다.

원하는 경우 letsencrypt 배너에서 이를 지원하게 되어 기쁩니다.

:+1:

관심 있는 분들을 위해 Ubuntu 사이트에 대한 인증서 설치를 자동화하기 위해 약간의 Ansible 역할을 연결했습니다. 현재로서는 매우 제한적입니다. 제가 필요한 기능에 대해서만 누군가가 그것을 사용하고 싶다면 PR을 환영합니다.

역할은 git의 공식 클라이언트를 사용하고 certonly 모드에서 인증서 설치/갱신을 수행합니다.

https://galaxy.ansible.com/jaywink/letsencrypt/

repo 이동 후 harlan을 다시 할당하여 제거했습니다. 이것은 여전히 ​​중요하지만 이제 우리가 이미 패키지 된 위치에서 letsencrypt -> certbot의 이름을 바꾸는 것보다 우선 순위가 낮습니다.

👍

+1

+1

+1

+1

PPA를 최신 버전으로 업데이트하는 것이 좋습니다. 뒤쳐져 있습니다 - 여전히 0.4.1인 것 같습니다: https://launchpad.net/ubuntu/xenial/+package/letsencrypt

@larssn 그것은 PPA가 아닙니다. 이는 Ubuntu 리포지토리의 패키지입니다. 두 가지 고려 사항: 첫째, 패키지 업데이트를 Ubuntu 릴리스로 가져오기 위해 거쳐야 하는 SRU 프로세스[1]가 있습니다. 둘째, 패키지가 '우주'에 있으므로 Ubuntu/Canonical에서 공식적으로 지원하지 않습니다.

[1] https://wiki.ubuntu.com/StableReleaseUpdates

(편집: URL 추가)

알았어요.

어떤 경우에도; 여전히 업데이트를 원합니다. :)

여러분, 이것은 "공식" 리포지토리는 아니지만 집에 데비안 개발자이자 우분투 회원으로서 어느 정도 신뢰를 얻었습니다(내 PHP PPA는 수천 명이 사용함). 그래서 certbot 0.8.x용 PPA를 만들었습니다. 현재로서는 Xenial에서 빌드되었지만 시간이 되면 더 많은 스택을 Trusty로 백포팅하는 것을 볼 수 있습니다.

PPA는 여기: https://launchpad.net/~ondrej/+archive/ubuntu/letsencrypt

방금 ubuntu 16.04에서 테스트했으며 이미 php, apache 및 mysql에 대한 내용을 사용하고 있습니다.

@oerdnj 당신은 또 한 번 내 하루를 구했습니다. 당신의 노고에 감사드립니다!

@oerdnj 당신의 PPA가 우리의 명령어 생성기 에서 그것을 가리키는 것을 고려해야 할 만큼 충분히 신뢰할 수 있다고 생각합니까?

wrt Trusty: harlan은 Trusty가 신뢰할 수 있는 PPA를 실행하기 위해 구축해야 하는 종속성 집합을 약간 두려워하게 되었다고 생각합니다. 그러나 @jonathonf 는 그 면에서 어느 정도 진전을 같으 므로 다루기 쉬운 문제일 수 있습니다.

@pde 안정적입니다. 나는 때때로 바빠서 누군가가 저에게 핑을 보내거나 여기 내 gh 추적기에서 문제를 채울 수 있습니다: https://github.com/oerdnj/deb.sury.org/issues

그러나 나는 중요한 것은 몇 시간 안에 릴리스하고 수정하는 경향이 있고 덜 중요한 것은 몇 주 안에 릴리스하고 수정하는 경향이 있습니다.

나는 10월에 열리는 몇몇 회의에 참석할 예정이며 보통은 유휴 시간을 포장으로 채우므로 Trusty 포장을 마칠 수 있을 것입니다. 물론, 그 부분에 대해 이미 기존 작업이 있다면 기꺼이 힌트/패치/도움을 받겠습니다.

대안으로 런치패드에서 "공식" 패키징 그룹을 만들고 더 많은 사람들을 초대하고 LE의 누군가를 관리자로 추가하게 되어 기쁩니다.

데비안 패키징 팀은 훌륭한 일을 해냈기 때문에 Xenial의 경우 대부분 기존 패키지를 백포팅/재패키징하는 것이었습니다. Trusty의 경우 좀 더 수정이 필요할 수 있지만 아직 살펴보지는 않았습니다.

기록을 위해 저는 @jonathonf 의 PPA를 신뢰할 수 있는 환경에서 사용하고 있으며 모든 것이 잘 작동하며 몇 가지 업데이트된 python-* 패키지만 필요했습니다.

@pde https://launchpad.net/~letsencrypt가 있고 버려진 것 같습니다. 어쩌면 LE는 Canonical에 LE 관리자의 누군가에게 이 런치패드 팀에 대한 액세스 권한을 부여한 다음 나와 @jonathonf 를 추가

@oerdnj letsencrypt 아래의 certbot 저장소가 좋을 것입니다. 개인적으로 저는 항상 letsencrypt 패키지를 찾고 있으며 letsencrypt를 검색하여 ti를 찾을 수 없으면 혼란스러울 것입니다.

~letsencrypt 조직의 @oerdnj 소유권을 부여

Letsencrypt의 누군가가 조직에 추가되고 소유자가 되기를 원하면 저에게 ping을 보내주십시오.

이제 certbot 패키지를 ppa:letsencrypt/letsencrypt 복사했습니다. Ubuntu Trusty를 위해 백포트해야 하는 패키지를 확인하기 위해 @jonathonf trusty 저장소를 살펴보겠습니다.

@floe 사용 중인 올바른 Trusty 저장소가 https://launchpad.net/~jonathonf/+archive/ubuntu/letsencrypt 입니까?

네, 맞습니다. 내 sources.list :

deb http://ppa.launchpad.net/jonathonf/letsencrypt/ubuntu trusty main

공식 Certbot PPA를 만들고 싶다면 Certbot이 더 이상 Let's Encrypt 프로젝트( source1 , source2 )가 아니기 때문에 ~letsencrypt 대신 https://launchpad.net/~certbot 에서 설정해야 한다고 생각합니다. ~ certbot는 우리의 데비안 패키지 관리자입니다 @hlieberman가 소유하고 있습니다.

ppa:letsencrypt/certbot 가 더 잘 어울리나요? @hlieberman ~certbot으로 이동하거나 둘 중 하나를 사용하는 것이 좋습니다. 필요하지 않으면 일을 전혀 하지 않아도 괜찮습니다. 무언가에 동의하고 앞으로 나아가자. 공식 저장소가 있습니다.

공식 Certbot PPA가 사용자에게 큰 이점이 될 것이라는 데 동의합니다. 이것이 정확히 우리가 원하는 것은 핵심 certbot 개발자가 이야기해야 하는 것입니다. 매주 수요일 모임이 있습니다. 그러면 이 문제를 제기하고 회의 후에 여러분에게 다시 알려 드리겠습니다.

@bmw @oerdnj @ArchimedesPi 내가 해야 할 올바른 일은 아마도 ppa:letsencrypt , 이상적으로는 런치패드가 그것을 certbot 리디렉션하도록 하는 것 같지만 필요한 경우 다른 수단을 사용하는 것이라고 생각합니다.

@oerdnj 여기서 다시 만나서 반갑습니다 :) 사실 저는 trusty로 백

@oerdnj @pde @bmw PPA 이름 지정 문제 외에 데비안에서 신뢰할 수 있는 버전으로 깔끔하게 백포트한 사람은 누구입니까? 그리고 PHP5 앱이 LE도 원하기 때문에 이에 대한 우리의 노력을 동기화할 수 있는 가장 좋은 곳은 어디입니까? ;)

데비안에는 0.8.1 패키지가 jessie-backports로 백포트되어 있으므로 거기에서 xenial로의 매우 깨끗한 백포트가 있습니다. pyopenssl 및 python-cryptography 에 대한 Debian 패키지의 deps를 낮추는 것은 python-acme 및 python-certbot 둘 다 다른 필요 없이 백포트된다는 것을 의미합니다. 하지만 이 작업을 수행하는 경우 yakkety 패키지를 백포트할 수도 있습니다.

Trusty는 여전히 python-acme 패키지에 대한 패치가 필요합니다. 다른 모든 것은 (대부분) jessie-backport 버전에 대해 정상적으로 빌드됩니다. 누가 어떤 영향을 미치는지 알 수 있는 업데이트된 종속성 라이브러리 패키지가 여전히 많이 있습니다.

@-all using ppa:jonathonf/letsencrypt : 이것은 jessie-backport Debian 패키지를 기반으로 하는 ppa:jonathonf/certbot 의 더 깨끗한 백포트를 위해 곧 사라질 것입니다. 또한 위와 같이 xenial 백포트를 청소하기 위해 최신 PPA를 약간 다시 지그할 수도 있습니다.

편집: 내 certbot PPA는 Jessie에서 몇 가지 추가 Python 라이브러리를 가져옵니다. 이렇게 하면 Trusty Python 스택에서 벗어나는 비용으로 Sid에서 직접 백포팅이 훨씬 쉬워집니다. 어쨌든 라이브러리가 universe 에 있다면 이것은 큰 문제가 되지 않습니다.

@jonathonf 반갑습니다 :) trusty의 "python-acme" 패치에 대해 더 많은 힌트를 줄 수 있습니까? 연쇄 효과의 경우 프로덕션으로 가져오는 동안 안정화 단계가 필요하며 물론 항상 개발 서버를 중단해야 합니다.) 신뢰할 수 있는 패키지 또는 작업 중인 사람을 어떻게 도울 수 있습니까?

@jonathonf ppa:jonathonf/certbot 에서 신뢰할 수 있는 패키지를 테스트할 때 다음을 얻습니다.
pkg_resources.DistributionNotFound: The 'python2-pythondialog>=3.2.2rc1' distribution was not found and is required by certbot
그러나 클라이언트가 지금 작동하는 종속성에 대한 빠른 소스 변경 백포트가 없습니다. https://launchpad.net/~trio-interactive/+archive/ubuntu/unstable/+sourcepub/7045266/+listing-archive-extra

@all : 배포판 릴리스와 함께 제공되는 여러 Python 패키지를 업그레이드해야 하므로 Python 종속성을 깔끔하게 백

흠. certbot 패키지 내에서 필요한 종속성 버전을 로컬로 방문할 수 있습니까?

@bhat3 : debian.tar.gz에서 python-acme 를 찾으면 퀼트 패치를 찾을 수 있습니다. 나는 이 스레드의 앞부분에서 그것을 얻었다고 확신하지만, 지금 빠른 스캔 후에 그것을 보지 못했습니다.

@jonathonf 오늘 포장을 보려고 하는데 아직 시간이 있을 거라고 장담할 수 없습니다. 패치 외에 trusty에 대한 최소한의 종속성으로 볼 수 있는 것은 무엇입니까? 따라서 trusty의 Python 스택을 그렇게 많이 엉망으로 만들 필요가 없습니까?
@oerdnj 보안 담당자와 상당히

그것은 당신이하고 싶은 포장의 양에 달려 있습니다. 내 원래 letsencrypt PPA의 deps는 내가 얻을 수 있는 한 최소한이지만 데비안의 추가 백포트를 더 어렵게 만듭니다. 내 certbot PPA의 백포트된 dep는 더 많고 광범위하지만 직접 백포트를 훨씬 쉽게 만듭니다.

Python 라이브러리가 universe 있으면 크게 걱정할 필요가 없습니다. 핵심 Ubuntu 스택의 어떤 것도 universe 에 의존하지 않으며 universe 패키지는 보안 문제의 경우에도 물론 어쨌든 업데이트됨).

@jonathonf 우분투의 "우주" 코너 사례에 대해 잘 생각했습니다 ;) 사실 저는 어제 노력을 계속할 수 없었고 이번 주에는 더 이상 기회가 없었습니다. :)

이 문제가 처음 생성된 지 거의 1년이 지났지만 아직 합의된 사항이 없으신가요?

여기에서 추진력을 얻을 수 있습니까? 어느 쪽이든.

https://launchpad.net/~jonathonf/+archive/ubuntu/certbot 이 우리가 얻을 수 있는 공식적입니까?

@jonathonf 모든 - 나는에 @hlieberman와 협력 PPA : certbot / certbot 와 내가 믿을 수있는, 주객 관계의 및 yakkety의 빌드 deps의 대부분을 가지고 생각합니다. 누락된 유일한 것은 최근 스핑크스이며 이에 대한 해결 방법이 있기를 바랍니다.

@oerdnj 사용할 준비가 되었습니까?
추가하려고 하면 "오류: 서명 키 지문이 없습니다"가 표시됩니다.

죄송하지만 아직 ~주 안에 완료됩니다. 나는 내일 IETF로 떠나고 그곳에서 그것을 마치기 위해 약간의 자유 시간을 가질 것입니다.

builddep인 경우 추가할 수 있는 Sphinx 백포트 PPA가 있습니다.
PPA 종속성으로. 그것을 사용할 수 있습니다. 패키지를 "지원"에 복사하십시오.
PPA 또는 동일한 패키지 세트를 백포트합니다.

제이

2016년 11월 9일 12시 39분에 "Ondřej Surý" 알림 @github.com이 작성했습니다.

@jonathonf https://github.com/jonathonf and all - 나는 협력
@hlieberman https://github.com/hlieberman in ppa:certbot/certbot 그리고 나는
신뢰할 수 있고 xenial 및 yakkety에 대한 대부분의 빌드 dep가 있다고 생각합니다. NS
누락된 것은 최근 스핑크스뿐이며 일부가 있기를 바랍니다.
이에 대한 해결 방법.

—
당신이 언급되었기 때문에 이것을 받는 것입니다.
이 이메일에 직접 답장하고 GitHub에서 확인하세요.
https://github.com/certbot/certbot/issues/1706#issuecomment -259405442,
또는 스레드 음소거
https://github.com/notifications/unsubscribe-auth/AAiJCY1dmSHhspzOgNcT8tQu4XigyNJdks5q8b7ygaJpZM4Guho5
.

@oerdnj @jonathonf @hlieberman
작업해 주셔서 감사합니다.

우리 모두는 또 한 주를 기다릴 수 있다고 생각합니다.

@oerdnj @jonathonf 근무 시간 내에 신뢰할 수 있는 백포트에 대해 도움을 드릴 수 있는 것이 있습니까?

@bhat3 현재 ppa:certbot/certbot 에 있는 것을 광범위하게 테스트할 수 있다면 정말 좋을 것입니다. 런타임 오류 발생을 중지하기 전에 일부 (Build-)Depends를 조여야 했지만 지금은 모두 좋아 보입니다.

JFTR ppa:certbot/certbot 에는 이제 약간의 주의를 기울여 사용할 수 있는 패키지가 포함됩니다. 당분간 여기에서 파손을 신고해 주십시오.

@oerdnj 좋아, 우리 개발 서버에서 내 자신의 패키징을 ppa:certbot/certbot 바꿀 것입니다. 그러나 표준 Debian/Ubuntu 도구 외에 우리는 Python을 사용하지 않고 PHP를 사용하므로 이러한 손상을 강조할 수 없습니다.)

Ubuntu-16.04-xeinal에서 다음 오류로 인해 갱신에 실패한 0.4.1에 멈췄습니다.

경고:letsencrypt.cli:/etc/letsencrypt/renewal/gableroux.com.conf 에서 인증서를 갱신하려고 하면 '서버'라는 예기치 않은 오류가 발생했습니다. 건너뛰기.

업그레이드 후 갱신이 다시 작동합니다. 감사합니다! :NS

python -mplatform

Linux-3.11.0-12-generic-x86_64-with-Ubuntu-16.04-xenial

letsencrypt --version

렛센크립트 0.4.1

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install --upgrade letsencrypt
letsencrypt --version

렛센크립트 0.9.3

letsencrypt renew --agree-tos 

축하합니다. 모든 갱신에 성공했습니다.

:마음:

@oerdnj 지금까지 @jonathonf 의 신뢰할 수 있는 패키지와 하나의 자체 백포트를 사용한 개발 서버에서 잘 보입니다.

Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
  certbot letsencrypt python-acme python-certbot python-cffi-backend
  python-configargparse python-cryptography python-dialog python-dnspython
  python-idna python-ipaddress python-ndg-httpsclient python-openssl
  python-parsedatetime python-pkg-resources python-pyasn1 python-requests
  python-rfc3339 python-setuptools python-six python-urllib3
21 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,410 kB of archives.
After this operation, 398 kB of additional disk space will be used.
Do you want to continue? [Y/n]

99개의 하위 도메인으로 미리 생성된 LE 인증서를 성공적으로 갱신했으며 잘 작동합니다. 내일 더 많은 테스트가 이어집니다 ...

말했듯이 LE는 이미 전체 종속성 체인을 업그레이드하지 않고 동일한 시스템에서 작업하고 있었기 때문에 완전한 종속성 백포팅에 대해 약간 회의적입니다.

BTW certbot/certbot PPA의 이름을 기본 이름(certbot/ppa)으로 바꾸면 사용자는 이름의 단축 버전을 사용할 수 있습니다. 예:

sudo add-apt-repository ppa:certbot

@oerdnj trusty에 대한 다음 테스트는 cron 및 shell을 통한 자동 갱신이었지만 실제로는 이전에 만나지 못한 몇 가지 문제를 발견했습니다.

/usr/bin/letsencrypt certonly --force-renewal --webroot -w /var/www/letsencrypt -d DOMAIN.TLD
An unexpected error occurred:
Bug in pythondialog: expected an empty output from u'infobox', but got: u'Error opening terminal: unknown.\n'Please see the logfile 'certbot.log' for more details.

갱신 스크립트의 모든 출력을 기록하고 그 안에 메일 알림을 받는 동안 certbot.log를 찾지 못하고 실제로 디버그할 수 없습니다. 그것에 대한 힌트가 있습니까?

@bhat3 cron 스크립트에서 certbot을 호출하는 경우 --noninteractive 또는 --quiet ( --noninteractive )를 사용해야 합니다.

(/var/log/, 아마도 /var/log/letsencrypt/에서 certbot.log 를 찾을 것입니까? TBH 거기에는 letsencrypt.log만 있습니다. certbot.log는 새로운 것처럼 보입니다.)

certbot은 모두 갱신을 시도하지 않습니까? 나는 그것을 실행하고 그것은 그것을한다

@bhat3 은 패키지에서 제공하는 기본 cronjob입니까?

@oerdnj 아니요, 그건 자신의 것이고 --noninteractive 스위치는 @jonathonf 의 패키지를 사용하기 전에는 필요하지 nginx -t && systemctl restart nginx 와의 상호 작용에 대해서는 확실하지 않습니다.

@chrismccoy 그리고 갱신 후 웹 서버를 어떻게 다시 시작합니까?

@mgedmin Thx, 스위치와 함께 작동했습니다. 그러나 나는 여전히 certbot.log가 브랜딩 문제이고 /var/log/letsencrypt/letsencrypt.log가 스위치 없이 생성되지 않은 것처럼 보이는 그것을 의미하는지 궁금합니다.

/usr/bin/letsencrypt certonly --noninteractive --force-renewal --webroot -w /var/www/letsencrypt -d DOMAIN.TLD
Saving debug log to /var/log/letsencrypt/letsencrypt.log

새로운 자르기 작업을 보세요. hooks 디렉토리가 있습니다.

@oerdnj 당신은 내가 Nginx를 돌보는 성공적인 갱신 후에만 후크를 할 수 있다는 것을 의미합니까?

certbot renew 호출에는 다음이 포함됩니다. /usr/bin/certbot -q renew --pre-hook '/bin/run-parts /etc/letsencrypt/pre-hook.d/' --post-hook '/bin/run-parts /etc/letsencrypt/post-hook.d/' --renew-hook '/bin/run-parts /etc/letsencrypt/renew-hook.d/'

그리고 방금 @hlieberman 데비안 버그에 대한 패치를 보냈습니다.#838548

# cat /etc/letsencrypt/post-renewal.d/nginx 
#!/bin/sh
set -e
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
nginx -t -q && nginx -s reload
exit 0

@oerdnj , 우리는 @hlieberman에게 특히 모든 배포판이 혜택을 받을 수 있는 솔루션 업스트림을 개발하기 위해 Debian에 그런 디렉토리를 추가하지 했습니다 . 이러한 디렉토리를 제거하고 당사의 솔루션을 기다리는 것에 대해 어떻게 생각하십니까?

PPA에 있는 패키지 버전의 certbot에 Apache 구성 플러그인이 있습니까? Universe와 마찬가지로 python-letsencrypt-apache와 동일한 패키지가 없다는 것을 알았습니다.

Certbot/Letsencrypt가 Universe 버전으로 작동하지만 PPA를 사용하여 업그레이드할 때 아파치 플러그인을 둘러싼 오류가 발생합니다. 예

$ sudo certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/XXXXXX.conf
-------------------------------------------------------------------------------
Renewal configuration file /etc/letsencrypt/renewal/XXXXXX.conf produced an unexpected error: 'Namespace' object has no attribute 'apache_enmod'. Skipping.
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

No renewals were attempted.

Additionally, the following renewal configuration files were invalid: 
  /etc/letsencrypt/renewal/XXXXXXXXX.conf (parsefail)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
0 renew failure(s), 1 parse failure(s)

그리고

$ sudo certbot --apache
The requested apache plugin does not appear to be installed

구성 파일(이름이 /etc/letscrypt로 변경됨)을 삭제하려고 시도했지만 개선되지 않았습니다. 다행히 0.4.1로 다운그레이드하는 것은 간단합니다.

@bmw 솔직히 말해서 여기에서 Debian 통합을 환영하며 자체 cron'd BASH 스크립트에서 통합하고 싶습니다. 업스트림 및 배포판 불가지론 솔루션으로 무엇을 하고 싶습니까? 제공하는 데 얼마나 걸립니까?

갱신과 인증서를 사용하는 서비스와의 필요한 상호 작용과 관련하여 공개적으로 너무 끔찍한 솔루션이 있으므로 @oerdnj 등이 지금 데비안 배포판에서 표준화할 수 있는 정상적인 솔루션을 제공하는 것을 정말 선호합니다.+1:

@bmw 전적으로 동의하지 않습니다. 데비안 확장이 동결 기간에 접어들고 있으며 모든 사람이 향후 2년 이상 동안 자신의 스크립트를 작성하는 것을 원하지 않는다면 데비안 통합이 제어되고 언제( 그리고) 공식 실행 부품을 제공하면 마이그레이션이 상당히 쉬울 것입니다.

아마도 내가 이 분야에 너무 오래 있었을지 모르지만, 사람들이 창의력을 발휘하기 시작할 것이기 때문에 완벽한 해결책을 기다리는 것은 일반적으로 재앙으로 가는 길일 뿐입니다.

@hlieberman 이 run-parts 솔루션을 기본 데비안 패키지에 통합한다면 정말 감사하겠습니다. 이 솔루션은 현재 데비안 스트레치에 대한 작동 솔루션을 제공하고 데비안 내부가 작동하는 방식으로 잘 통합됩니다.

안녕하세요 @oerdnj , 두 가지 점:

1. 우리는 업스트림을 제어하고 unstable 및 testing 로의 릴리스에서 꽤 좋은 파이프라인을 가지고 있기 때문에 데비안과 대부분의/모든 다른 배포판 모두에서 작동하는 업스트림 Certbot에 패치를 적용할 시간이 있다고 생각합니다. , 데비안으로 가져옵니다. 원하는 경우 2월 동결 전에 매우 쉽게 발생할 수 있습니다. PR을 보내거나 @hlieberman 이 그렇게 하도록 격려하십시오. :)
2. 우리는 스트레치 프리즈에 대처하는 방법에 대해 많은 대화를 나눴습니다. 우리는 Certbot이 사람들이 데비안 안정 릴리스를 위해 시행하려고 하는 것처럼 보이는 5년 이상 동안 주어진 버전에 고정될 만큼 성숙하지 않다고 생각합니다. 우리는 여전히 그것에 대해 무엇을 할 수 있는지 알아 내려고 노력하고 있습니다. Ubuntu에서 우리는 최신 Certbot 버전을 Xenial LTS로 가져오기 위해 SRU 프로세스를 진행하고 있지만 Debian이 이를 확장할 것이라고 낙관하지는 않습니다. 현재 계획은 debian-devel 목록에 다음 중에서 선택하도록 요청하는 것입니다. (2) Debian에 Certbot을 안정적인 릴리스로 제공하지 말라고 요청하고 대신 사용자에게 백포트 지침 을 제공하는 데 의존합니다. 이는 우리가 현재 Jessie와 함께 하고 있는 일이며 우리는 그것이 상당히 정상적이라고 생각합니다.
3. 원하신다면 주간 Certbot 개발 통화에 참여하여 이러한 문제를 논의할 수 있습니다! Brad가 초대장을 보낸 것 같지만 그렇지 않은 경우 lmk에서 수정하겠습니다.

@pde 알겠습니다 . run-parts 와 비슷한 것을 요리하기 위해 자유 시간을 예약하려고 합니다. 하지만 기본 파이썬 코드에서.

예, 초대장을 받았습니다(정확한 시간은 Freenode에서 확인하겠습니다). 일/주/월/년에 시간이 한정되어 있기 때문에 이 특정 문제 외에는 아무 것도 약속할 수 없습니다. :)

편집됨: 어쩌면 내 안의 IETF 경험일 수도 있지만 실제로는 말하는 것보다 실행 중인 코드를 선호합니다. :). 더 많은 실행 코드를 생성할 시간만 더 있다면.

아파치 플러그인도 추가할 수 있다면 좋을 텐데 :)

안녕하세요, 언제 PPA를 볼 수 있는지 확인하고 싶었습니다. Lets Encrypt를 처음 사용한 이후로 곧 있을 첫 번째 갱신을 완료하기 위해 가까운 시일 내에 certbot-auto를 설치하기 직전입니다. 여러분이 이 일을 함께 하기 위해 하고 있는 일에 대해 건배와 감사를 드립니다.

@jesseiqmi 당신은 이미 그것을 탈 수 있습니다:

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install --upgrade letsencrypt
letsencrypt --version

프로덕션에서도 사용하지만 여전히 적절한 갱신 통합이 없지만 프로덕션에서 자체 제작 스크립트를 테스트했습니다. 그러나 적어도 프로덕션을 만지기 전에 개발 및 스테이징 시스템에서 항상 새 버전을 테스트하는 것이 좋습니다. apt-mark hold PKGNAME 를 사용하여 KISS 린 상태를 유지하거나 다음 테스트가 스테이징을 통과할 때까지 프로덕션에서 PPA를 비활성화하거나 자체 PPA를 사용하여 QA 체인의 시스템 간에 패키지를 전달할 수 있습니다.

PPA에는 certbot-apache와 같은 플러그인이 포함되어 있지 않은 것 같습니다. 이를 설치하는 올바른 절차는 무엇입니까?

@oerdnj 업데이트나 도움이 필요한 사항이 있으신가요?

@pde sphinx-build 1.2.2로 문서를 수정하는 방법을 https://launchpadlibrarian.net/301768953/buildlog_ubuntu-trusty-i386.python-certbot-nginx_0.9.3-1+certbot ~trusty+2_BUILDING.txt.gz

그것은 certbot_nginx/nginxparser.py 의 코드 버그인 것 같습니다. Sphinx와 아무 관련이 없습니다(Sphinx가 버그로 인해 실패하는 autodoc 목적으로 모듈을 가져오려는 것 외에는).

AFAICS에 대한 파싱은 사용을 원하는 ... + restOfLine 대신 ... + restOfLine() .

@mgedmin 감사합니다. 패키지에서 패치를 시도하고 https://github.com/certbot/certbot/pull/3989로 제출하겠습니다.

이제 PPA에 apache 및 nginx 플러그인이 모두 포함됩니다. 찌르게 해주셔서 감사합니다.

@oerdnj의 모든 작업에 감사드립니다! PPA가 일반 Certbot 사용자에게 제안할 수 있는 시점이라고 생각하십니까?

@bmw 저는 그렇게 믿습니다. 글쎄요, 저장소에 여전히 rundirs 해킹이 있다는 문제를 제외하고는 놓아주고 싶지 않습니다. 하지만 기능이 업스트림 certbot에 도달하면 안정적인 마이그레이션 경로를 준비하게 되어 기쁩니다.

@ordnj 네! 나중에 PPA를 분기할 필요 없이 rundirs "해킹"에 대해 마침내 통합하고 싶습니다. +1:
@bmw 업스트림 Python 접근 방식에 대한 귀하의 필요성을 이해할 수 있지만 여기에서는 데비안 패키지에 관한 것입니다! ;)

이 문제를 구독하는 사람이 너무 많기 때문에 여기에 내 질문을 게시해서 죄송합니다. 하지만 다른 곳에서는 좋은 답변을 찾지 못해 여기에 올립니다.

우분투 16.04.2
apt install letsencrypt 패키지 설치 :
letsencrypt --version 는 0.4.1을 제공하지만 git 에서 설치할 때 0.12.0을 얻습니다. 따라서 Ubuntu는 언제 패키지를 업데이트합니까, 아니면 0.4.1 이 0.12.0 의 Ubuntu 버전입니까?

Ubuntu는 릴리스된 버전의 패키지를 업데이트하지 않습니다(심각한 버그를 수정해야 하는 경우 제외 - 안정적인 릴리스 업데이트 정책 참조 ).

Ubuntu는 SRU 프로세스를 진행할 때 16.04용 패키지를 업데이트합니다. Ubuntu 패키지는 git repo에 연결되어 있지 않습니다.

PPA를 사용하는 것이 더 나은 경우 apt-get install letsencrypt 는 최신 패키지 버전을 설치합니다.

최신 git 버전을 원하지 않는 경우에는 수행한 작업을 수행하십시오.

@jonathonf 이 문제에 PPA를 설치했지만 차이는 없습니다. :/

당신이 하지 않았다고 생각합니다. ;)

이것을 시도하십시오: https://launchpad.net/~certbot/+archive/ubuntu/certbot

@jonathonf 굉장합니다! 그것을 놓쳤다.

그럼 이게 유지될까요? 나는 그것이 "반공식적"인 것을 알았다. 또한 필요한 모든 종속성을 설치합니까? Git 버전이 더 많은 패키지를 설치하는 것 같습니다 ...

안녕하세요, 인용된 PPA https://launchpad.net/~certbot/+archive/ubuntu/certbot를 사용할 수 있습니까?
?

안전하고 신뢰할 수 있으며 업데이트되었습니까?

모든 PPA에 관해서는 이것이 귀하의 요청입니다.

그러나 @oerdnj 는 데비안 패키저이며 이미 다른 Ubuntu용 PPA(예: 그의 매우 유용한 PHP PPA)에서 엄청나게 많은 작업을 수행하고 있습니다.

그를 믿으면 그의 PPA를 신뢰할 수 있습니다.

Git 버전이 더 많은 패키지를 설치하는 것 같습니다 ...

git 버전은 Python virtualenv를 설정하여 소프트웨어를 빌드하고 연결된 모든 종속성을 로컬에 설치합니다. PPA는 뒤에서 이 작업을 수행하므로 최종 결과 패키지가 더 적습니다.

이 PPA 는 사용할 준비가 되었습니다! certbot-auto 또는 현재 Ubuntu 패키지(certbot/website#198 참조)를 통해 사용하도록 사람들에게 알리기 위해 certbot.eff.org를 업데이트할 것입니다. 마침내 이 문제를 종료할 수 있습니다.

@hlieberman , @oerdnj : PPA 제목에서 "(

PPA를 얻기의 어떤 기회로 변경 ppa 사람들이 실행할 수 있도록 sudo add-apt-repository ppa:certbot 대신 sudo add-apt-repository ppa:certbot/certbot ? 이것은 이 주석에서 언급되었습니다: https://github.com/certbot/certbot/issues/1706#issuecomment -260585028

PPA는 언제 업데이트됩니까? 버전 12가 13일 동안 나왔습니다.

나는 당신이 ppa에 대한 접두사가 필요하다고 확신합니다. 그래서 그것이 속한 사용자와 repo도 알 수 있습니다. 그렇지 않으면 선택해야 할 사용자 이름의 repo를 알지 못할 것입니다. 내가 틀릴 수 있습니다. 다른 사람이 모든 ppa 중에서 접두사만 있으면 사용하지 마십시오.

내 iPhone에서 보낸

2017년 3월 15일 오후 5시 18분에 Geoffrey Fairchild [email protected]이 다음과 같이 썼습니다.

@elyscape 의 제안이 마음에

—
당신이 언급되었기 때문에 이것을 받는 것입니다.
이 이메일에 직접 답장하거나 GitHub에서 보거나 스레드를 음소거하세요.

@elyscape 그것은 이미 ppa를 사용하고 있는 모든 사람들이 미학을 위해 구성을 변경하도록 강제할 것입니다.

@chrismccoy , ppa 는 PPA에 대해 사용자만 지정하는 경우 가정된 저장소입니다.

user@ubuntu-device:~$ sudo add-apt-repository ppa:certbot
Cannot add PPA: 'ppa:~certbot/ubuntu/ppa'.
The team named '~certbot' has no PPA named 'ubuntu/ppa'
Please choose from the following available PPAs:
 * 'certbot':  Certbot PPA (semi-official)
 * 'certbot-build':  Certbot Build PPA (don't use this, use ppa:certbot/certbot)

이 글을 쓰고 있는 동안 @oerdnj가 답장을 했기 때문에 이제 요점은

@elyscape가 말했듯이 단축된 apt-add-repository 명령을 사용하여 'ppa'라는 이름의 PPA를 추가할 수 있지만 이것은 이 시점에서 실제로는 그냥 바이크 셰딩( bike-shedding)입니다. certbot 프로젝트를 위한 certbot PPA이며 추가로 9개의 문자는 거의 부담되지 않습니다.

업데이트 측면에서 0.12는 아직 데비안에 상륙하지 않았습니다(심지어 sid나 실험적이지 않음). 적절하게 랭글링되고 나면 PPA로 이동해야 합니다.

이것은 Debian Let's Encrypt Team에서 준비하고 Ubuntu용으로 백포트된 패키지용 PPA입니다.

테스트되고 작동하는 패키지를 배포하기를 원한다고 가정합니까? :)

--편집하다
타이핑하는 동안 두 가지 다른 업데이트가... 흐, 어쨌든 게시 중입니다. :NS

@enoch85 고장난게 있나요? #4233이 문제지만 그게 다야.

나는 보통 @hlieberman 워크플로를 따르고 그는 아직 데비안 패키지를 업데이트할 시간이 없었고 그의

이것이 이 PPA를 사용하는 더 많은 사람들에게 문제를 준다면 #4243에서 0.11.1 위에 있는 패치를 가져올 수 있지만 저는 이 "새 버전을 위한 새 버전" 세계관을 실제로 따르지 않습니다.

@bmw "(

@oerdnj 아니요, 아직까지는 아니지만 곧 git 버전이 12인 이 PPA로 변환하고 12로 생성된 인증서에 대한 경고를 받습니다. 업데이트가 있으면 좋을 것입니다. 그리고 언제나처럼, 당신은 흔들립니다!

런치패드 유지 관리자로부터 업데이트를 받는 데 일반적으로 얼마나 걸리나요? 런치패드의 certbot/certbot은 0.11.1이고 0.12는 github.com에 있습니다.

@chrismccoy PPA 관리자가 작성한 댓글 3개를 다시 읽으십시오(예: https://github.com/certbot/certbot/issues/1706#issuecomment -286890691).

@oerdnj 특히 #4233 때문에 여기까지 왔습니다. 저는 한 사람일 뿐이고 이것은 단순한 개인 프로젝트였지만 0.12 릴리스를 기대합니다.

이 문제의 PPA에서 Certbot 12를 사용하여 새 인증서를 설치하려고 할 때 이것을 얻습니다. Let's Encrypt 버그인지 PPA 관련 문제인지 모르겠습니다. 또한 여기에 보고했습니다: https://community.letsencrypt.org/t/ubuntu-14-04-with-certbot-auto-failing-tls-sni-challenge-with-apache/33439/2

tls-sni-01 challenge for cloud.domin.com
/usr/lib/python2.7/dist-packages/OpenSSL/rand.py:58: UserWarning: implicit cast from 'char *' to a different pointer type: will be forbidden in the future (check that the types are as you expect; use an explicit ffi.cast() if they are correct)
  result_code = _lib.RAND_bytes(result_buffer, num_bytes)
Waiting for verification...

내 인증서가 올바르게 생성되었지만 누군가가 파이썬 경고 메시지를 조사해야 한다고 생각합니다.

@oerdnj 귀찮게 해서 죄송하지만 새 버전의 패키징을 따를 수 있는 방법이 있습니까? 즉, 새 패키지가 준비될/준비될 수 있을 때.

Cloudflare 및 DNS 인증을 사용하여 인증서를 자동 갱신할 수 있도록 새 패키지(v0.14.x)를 기다리고 있습니다.

@shaneog "지금은 자유 시간"이므로 계획이 없습니다(심각한 버그가 없는 한). 하지만 0.14.1로의 업데이트는 간단한 업데이트인 것 같아서 지금 바로 빌드를 업로드하고 있습니다.

감사합니다!

PPA에서 설치하여 만든 crontab에는 더 이상 /bin/run-parts 비트가 포함되지 않으므로 갱신 후크를 지정하는 권장 방법은 무엇입니까?

지금은 /etc/cron.d/certbot 스크립트를 @oerdnj 가 몇 달 전에 있던

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --pre-hook '/bin/run-parts /etc/letsencrypt/pre-hook.d/' --post-hook '/bin/run-parts /etc/letsencrypt/post-hook.d/' --renew-hook '/bin/run-parts /etc/letsencrypt/renew-hook.d/'

...그리고 내 후크 스크립트를 해당 디렉토리에 넣습니다. 이 문제에 대해 더 나은 방법이 있습니까?

달성하고자 하는 바에 따라 다릅니다. 두 가지 주요 옵션이 있지만 이 게시물 하단에 있는 경고 를

전역 구성 파일

Certbot의 구성 파일에 후크를 포함하면 run-parts 솔루션과 유사한 동작을 얻을 수 있습니다. /etc/letsencrypt/cli.ini 있는 파일은 다음과 같습니다.

pre-hook = /bin/run-parts /etc/letsencrypt/pre-hook.d/
post-hook = /bin/run-parts /etc/letsencrypt/post-hook.d/
renew-hook = /bin/run-parts /etc/letsencrypt/renew-hook.d/

이것과 이전 crontab 사이의 유일한 동작 차이점은 certbot certonly , certbot run , certbot (하위 명령 없음)와 같은 다른 Certbot 하위 명령으로 인증서를 얻을 때도 이러한 후크가 실행됩니다. ) 등. 사전 및 사후 후크는 인증서를 얻은 경우 항상 실행되는 반면, 갱신 후크는 기존 경로에서 인증서를 갱신하는 경우에만 실행됩니다.

인증서 구성 파일

또 다른 옵션은 인증서별로 후크를 정의하는 것입니다. 이를 통해 인증서에 따라 다른 후크를 실행할 수 있습니다. 인증서를 얻을 때 해당 인증서를 얻는 데 사용한 후크는 /etc/letsencrypt/renewal/domain.conf 저장됩니다. certbot renew 실행하면 인증서가 갱신될 때 이러한 후크가 자동으로 다시 실행됩니다. 위에 포함된 것과 동일한 구문을 사용하여 [renewalparams] 섹션 헤더 아래에 후크를 배치하여 이러한 파일을 수동으로 편집할 수도 있습니다.

경고

1. 이 두 옵션은 호환되지 않습니다. 전역 구성 파일에 배치된 후크는 인증서에 대한 구성 파일에 있는 값을 재정의하는 명령줄에 포함된 것과 동일하게 처리됩니다.
2. 어떤 방법을 사용하든 파일을 편집한 후 certbot renew --dry-run 를 실행하여 모든 것이 여전히 제대로 작동하는지 확인하십시오.

완벽합니다. 전역 구성 파일이 정확히 제가 필요로 하는 것입니다. 감사합니다!

그렇다면 갱신 후크의 실제 상태는 무엇입니까? 이게 어떻게 이렇게 엉망이 되었는지 이상합니다. 처음에는 cronjob이 다른 디렉토리의 부품을 호출한 다음 cli 파일을 호출했으며 이제 cli가 더 이상 정보를 보유하지 않기 때문에 새로 설치하면 디렉토리만 볼 수 있습니다.
certbot dev 리드의 누군가가 구성 파일에 지침과 함께 명확한 의견을 제시할 수 있습니까? 얼마나 어려울 수 있습니까? 예를 들어 CSF/LFD에 대해 어떻게 했는지 확인하십시오: https://gist.github.com/skt-bford/4987434

나는 그것이 매우 혼란스럽고 이것에 대해 충돌하거나 오래된 정보가 많다는 데 동의합니다. 내 이해는 현재 모범 사례는 certbot 명령줄을 사용하여 --deploy-hook ( --renew-hook 보다 낫음 )를 사용하는 것이며 후크 정보를 도메인에 저장하는 /etc /letsencrypt/newal, 따라서 후크는 매번 자동으로 실행됩니다. /etc/letsencrypt/cli.ini를 직접 편집하는 것보다 선호하는 솔루션으로 간주되며 다른 인증서에 대해 다른 후크를 가질 수 있다는 장점도 있습니다.

이것은 내가 찾은 최고의 정보입니다. https://community.letsencrypt.org/t/certbot-dovecot-postfix-certificate-renewal-issue/72226/11

나는 그것이 매우 혼란스럽고 이것에 대해 충돌하거나 오래된 정보가 많다는 데 동의합니다.

예, 혼란스럽습니다(!)... 하지만 귀하의 링크도 혼란스럽고 그 내용이 신뢰할 수 없습니다....

안녕하세요, 전문가 중 일부가 정리하고 요약할 수 있습니까? "2020년에 대한 신뢰할 수 있는 요약"을 표현하십시오 .

글쎄요, 이번 호의 제목인 "PPA for UBUNTU"에 대해 요약이 있습니다. 완벽해 보입니다!
https://certbot.eff.org/lets-encrypt/ubuntubionic-nginx

@oerdnj 요즘 저장소에서 업데이트된 certbot + dns 플러그인을 얻는 데 필요한 것이 무엇인지 궁금했습니다. 특히 certbot 1.2가 제한된 범위의 Cloudflare DNS-01 토큰에 대한 지원을 추가하기 때문에 전역 API 키가 필요한 이전 방식에 비해 보안이 크게 향상되었습니다.

https://github.com/certbot/certbot/milestone/81?closed=1

그렇다면 갱신 후크의 실제 상태는 무엇입니까?

그걸 논할 문제가 아니라고 생각합니다. 이 _닫힌_ 문제는 certbot 도구를 설치하기 위한 적절한 저장소에 관한 것입니다. 이는 귀하의 쿼리와 전혀 관련이 없는 것으로 보입니다.

그렇다면 갱신 후크의 실제 상태는 무엇입니까?

그걸 논할 문제가 아니라고 생각합니다. 이 _닫힌_ 문제는 certbot 도구를 설치하기 위한 적절한 저장소에 관한 것입니다. 이는 귀하의 쿼리와 전혀 관련이 없는 것으로 보입니다.

글쎄, 나는 그것에 대한 대답이 실제로 내 경우에는 작동하지 않았기 때문에 drawcking이 요청한 것을 계속하고있었습니다. 우분투 LE 패키지(최신 상태가 아님)와 관련이 있습니다.