H
Helcode | Хелкод | Скрипты и автоматизация
@helcode964 подп.
441просмотров
45.7%от подписчиков
8 марта 2026 г.
Score: 485
Про автоматизацию обновления сертификатов Каждый, кто админит свои сервера, через это проходил. Просыпаешься утром, а сайт не открывается. Лезешь в логи, а там "SSL certificate expired". Руки чешутся, кофе стынет, сертификат протух ещё неделю назад. Почему это вообще происходит. Let's Encrypt даёт сертификаты на 90 дней. Это не их прихоть, а стандарт индустрии - короткие сертификаты безопаснее. Но человеческая память короче 90 дней, и ручное обновление рано или поздно проспишь. ➤ 1. Ставим certbot. Он умеет не только получать сертификаты, но и продлевать их. apt-get install certbot python3-certbot-nginx ➤ 2. Разово получаем сертификат. certbot --nginx -d example.com -d www.example.com ➤ 3. Настраиваем автоматическое продление. Certbot создаёт systemd-таймер сам при установке. Проверить можно так: systemctl status certbot.timer systemctl list-timers | grep certbot Таймер запускается два раза в день и проверяет, не пора ли обновить сертификаты. Если до истечения осталось меньше 30 дней - обновляет. ➤ 4. Добавляем хуки на перезагрузку. После обновления nginx нужно перезагрузить, чтобы он подхватил новый сертификат. certbot renew --renew-hook "systemctl reload nginx" ➤ 5. Проверяем, что всё работает. certbot renew --dry-run Если вдруг certbot не вариант. Бывает, что сервер в закрытом контуре или используются внутренние CA. Тогда пишется простой скрипт в cron: #!/bin/bash # renew-internal-cert.sh CERT_PATH="/etc/ssl/certs/myapp.crt" EXPIRY_DAYS=$(openssl x509 -in "$CERT_PATH" -noout -enddate | cut -d= -f2 | xargs -I{} date -d "{}" +%s) CURRENT=$(date +%s) DAYS_LEFT=$(( (EXPIRY_DAYS - CURRENT) / 86400 )) if [ $DAYS_LEFT -lt 7 ]; then echo "Сертификат скоро истекает ($DAYS_LEFT дней). Запускаю обновление..." /usr/local/bin/update-internal-cert.sh systemctl reload nginx fi В cron добавляется еженедельный запуск: 0 2 1 /root/renew-internal-cert.sh Важный момент. Автоматика автоматикой, но я всё равно добавляю мониторинг на дату истечения. Например, в Prometheus можно экспортировать метрику с днями до протухания и настроить алерт, если осталось меньше недели. Тогда даже если автоматика почему-то не сработала, будет время вмешаться вручную. У кого как организовано обновление сертификатов? Доверяете автоматике или ходите раз в три месяца ручками продлевать? 🌐 @helcode
441
просмотров
2372
символов
Нет
эмодзи
Нет
медиа

Другие посты @helcode

Ansible: миф об идемпотентности и как не прострелить себе ногу Ansible позиционируется как идемпоте👁 534Коллеги, всех приветствую! Давно хотел показать что-то действительно полезное и при этом созданное👁 515Скрипты на bash и их предсказуемость Поймал себя на мысли, что многие пишут bash-скрипты как придёт👁 464Доброго времени суток! Попробуем истории из личной практики?) Довелось мне на одном из проектов пор👁 452"Пару слов" про оптимизацию Docker-образов Коллеги, есть у меня одна "больная тема". Вижу в CI/CD п👁 442
Все посты канала →
Аналитика каналаБаза постов
Про автоматизацию обновления сертификатов Каждый, кто админи — @helcode | PostSniper