Негативные последствия для регулярной повторной сертификации с помощью LetsEncrypt?

Question

У меня есть Docker-контейнер, который последовательно выполняет следующие действия:

• Запуск сервера NGINX только с HTTP на порту 80
• Запустите команду Certbot Certbot для генерации сертификатов
• Перезапустите сервер NGINX с новой конфигурацией, чтобы также выполнить HTTPS на 443

Это очень удобно, потому что если мы перемещаем серверы / даже домены, я знаю, что все, что мне нужно сделать, это запустить инам будет хорошо идти.К сожалению, результатом этого является то, что когда я воссоздаю контейнер, я снова прохожу процесс сертификации для того же домена.Это работает в настоящее время, но мне интересно, есть ли негативные последствия для этого подхода.LetsEncrypt накладывает какие-либо условия или ограничения на прохождение процесса сертификации для того же домена?Есть ли другие опасения, на которые стоит обратить внимание?

Answer 1

Хотя LetsEncrypt имеет ограничения по скорости, certbot может быть настроен на продление только тех сертификатов, срок действия которых близок к истечению.Чтобы использовать эту функцию, вам нужно хранить свои сертификаты в постоянном месте, которое монтируется в контейнер как том.

документация по установке описывает рекомендации тома:

docker run -it --rm --name certbot \
            -v "/etc/letsencrypt:/etc/letsencrypt" \
            -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
            certbot/certbot certonly

И параметры командной строки включают флаг --keep:

  --keep-until-expiring, --keep, --reinstall
                        If the requested certificate matches an existing
                        certificate, always keep the existing one until it is
                        due for renewal (for the 'run' subcommand this means
                        reinstall the existing certificate). (default: Ask)

Answer 2

Единственное негативное последствие, о котором я могу подумать (и вы уже имели представление об этом), - это ограничение скорости давайте шифровать на случай, если ваш контейнер, например, слишком быстро возрождается.

Вам следует внимательно прочитать эту страницу и посмотреть, может ли это быть проблемой в вашем случае (существует несколько ограничений для разных взаимодействий со службой).Не забывайте, что есть промежуточная среда, которую вы можете использовать при развертывании тестирования, чтобы вы не выходили за пределы, когда вы, наконец, приступите к работе.

У меня лично есть несколько автоматизированных сервисов, которые используют автоматическое создание зашифрованных сертификатов./ Обновление, и я никогда не выходил за эти пределы.