Обнављање сертификата за сигурну конекцију

letsencript.org је једна фантастична иницијатива. Људи додељују сигурносне сертификате за енкрипцију сајтова на интернету бесплатно. Сертификати трају 90 дана и морају се обновити. Више домена се групише у исти сертификат. Подешавање сам радио раније па сам пропустио да одмах документујем, али могу обнову сертификата и реконфигурисање сад да запишем.

Обнављање

sudo certbot renew

Уколико certbot јави да има нека грешка - било која, то онда значи да обнављање није било успешно ни за један домен. Мени се нпр. десило да је један од домена престао да ради па се за њега није могао обновити сертификат. Самим тим није радио више ниједан други домен.

Реконфигурација сертификата

nginx конфигурација

Уколико се мења списак домена за које сертификат треба да важи, прво је потребно подесити nginx конфигурацију:

cd /etc/nginx/sites-enabled

sudo nano production

Овде је потребно додати све домене које сајт треба да подржи - сигурно да нећемо да дозволимо да било ко на интернету може да региструје домен и покаже ка нашем сајту. То би било глупо. О самој конфигурацији се више може прочитати на nginx сајту.
Након што је конфигурација завршена, могуће је тестирати:

sudo nginx -t

Потом је потребно још рестартовати nginx:

sudo service nginx restart

Сертификат

Сертификат се генерално реконфигурише командом:

sudo certbot certonly --cert-name example.com -d example.org,www.example.org

--cert-name тражи конкретно име сертификата, што је обично први домен у сертификату. Да би открили које име је дато сертификату у локалу потребно је укуцати

sudo certbot certificates

-d је само скраћено писање за --domains. У наставку је потребно написати све домене који треба да буду покривени сертификатом, раздвојене зарезом, без размака.

Решени проблеми

Уколико неће да се реконфигурише и сертификат неће да ради, онда је најбоље укинути стари и направити нови:

sudo certbot --nginx certonly --break-my-certs

Пажња: овде постоји ограничење од највише 5 нових сертификата недељно.

Нерешени проблеми

У теорији би обнављање сертификата требало бити једноставно да се уради аутоматски у једном cron job-у. Ја то међутим никако нисам успео пре свега јер се нисам  снашао са Убунту системом права корисника.