Назад | Перейти на главную страницу

Может ли certbot возобновить --dry-run привести к ложному срабатыванию?

Если я сбегу certbot renew --dry-run и больше не вносить изменений в мою конфигурацию Nginx, я гарантирую, что certbot renew получится через 90 дней? Другими словами, может ли результат быть ложным?

Если да, лучше мне бежать certbot renew --force-renewal для тщательного теста?

Конечно, вы можете использовать --force-renewal если это вас устраивает. Но запускать его каждый день нельзя. В --dry-run вариант именно по той причине, что там тестирование.

Посмотреть здесь: https://certbot.eff.org/docs/using.html#certbot-command-line-options:

--dry-run             Perform a test run of the client, obtaining test
                   (invalid) certificates but not saving them to disk.
                    This can currently only be used with the 'certonly'
                    and 'renew' subcommands. Note: Although --dry-run
                    tries to avoid making any persistent changes on a
                    system, it is not completely side-effect free: if used
                    with webserver authenticator plugins like apache and
                    nginx, it makes and then reverts temporary config
                    changes in order to obtain test certificates, and
                    reloads webservers to deploy and then roll back those
                    changes. It also calls --pre-hook and --post-hook
                    commands if they are defined because they may be
                    necessary to accurately simulate renewal. --deploy-
                    hook commands are not called. (default: False)

Этот вариант - тест ваша конфигурация и убедиться, что все настроено правильно, но у него есть побочные эффекты.

Для продления можно смело использовать renew опция регулярно через cron:

renew:
                The 'renew' subcommand will attempt to renew all certificates (or more
                precisely, certificate lineages) you have previously obtained if they are
                close to expiry, and print a summary of the results. By default, 'renew'
                will reuse the options used to create obtain or most recently successfully
                renew each certificate lineage. You can try it with `--dry-run` first. For
                more fine-grained control, you can renew individual lineages with the
               `certonly` subcommand. Hooks are available to run commands before and
                after renewal; see https://certbot.eff.org/docs/using.html#renewal for
                more information on these.

Это будет запускать процесс обновления регулярно, но только возобновить сертификаты, когда это необходимо или скоро истечет.

В --force-renewal не является правильным вариантом для автоматического обновления сертификата, скорее предназначен для обновления вручную:

Если вы вручную обновляете все свои сертификаты, может оказаться полезным флаг --force-Renewal; это приводит к тому, что время истечения срока действия сертификата (ов) игнорируется при рассмотрении вопроса о продлении, и пытается обновить каждый установленный сертификат независимо от его возраста. (Эту форму нельзя запускать ежедневно, потому что каждый сертификат будет обновляться каждый день, что быстро приведет к превышению лимита скорости центра сертификации.)

Что касается гарантии, это бесплатное программное обеспечение с открытым исходным кодом, и я полагаю, что никто вам ничего не даст. Так что используйте это на свой страх и риск.