Если я сбегу certbot renew --dry-run
и больше не вносить изменений в мою конфигурацию Nginx, я гарантирую, что certbot renew
получится через 90 дней? Другими словами, может ли результат быть ложным?
Если да, лучше мне бежать certbot renew --force-renewal
для тщательного теста?
Конечно, вы можете использовать --force-renewal
если это вас устраивает. Но запускать его каждый день нельзя. В --dry-run
вариант именно по той причине, что там тестирование.
Посмотреть здесь: https://certbot.eff.org/docs/using.html#certbot-command-line-options:
--dry-run Perform a test run of the client, obtaining test
(invalid) certificates but not saving them to disk.
This can currently only be used with the 'certonly'
and 'renew' subcommands. Note: Although --dry-run
tries to avoid making any persistent changes on a
system, it is not completely side-effect free: if used
with webserver authenticator plugins like apache and
nginx, it makes and then reverts temporary config
changes in order to obtain test certificates, and
reloads webservers to deploy and then roll back those
changes. It also calls --pre-hook and --post-hook
commands if they are defined because they may be
necessary to accurately simulate renewal. --deploy-
hook commands are not called. (default: False)
Этот вариант - тест ваша конфигурация и убедиться, что все настроено правильно, но у него есть побочные эффекты.
Для продления можно смело использовать renew
опция регулярно через cron:
renew:
The 'renew' subcommand will attempt to renew all certificates (or more
precisely, certificate lineages) you have previously obtained if they are
close to expiry, and print a summary of the results. By default, 'renew'
will reuse the options used to create obtain or most recently successfully
renew each certificate lineage. You can try it with `--dry-run` first. For
more fine-grained control, you can renew individual lineages with the
`certonly` subcommand. Hooks are available to run commands before and
after renewal; see https://certbot.eff.org/docs/using.html#renewal for
more information on these.
Это будет запускать процесс обновления регулярно, но только возобновить сертификаты, когда это необходимо или скоро истечет.
В --force-renewal
не является правильным вариантом для автоматического обновления сертификата, скорее предназначен для обновления вручную:
Если вы вручную обновляете все свои сертификаты, может оказаться полезным флаг --force-Renewal; это приводит к тому, что время истечения срока действия сертификата (ов) игнорируется при рассмотрении вопроса о продлении, и пытается обновить каждый установленный сертификат независимо от его возраста. (Эту форму нельзя запускать ежедневно, потому что каждый сертификат будет обновляться каждый день, что быстро приведет к превышению лимита скорости центра сертификации.)
Что касается гарантии, это бесплатное программное обеспечение с открытым исходным кодом, и я полагаю, что никто вам ничего не даст. Так что используйте это на свой страх и риск.