Lets Encrypt - автоматическое продление убило сервер

[SPEC1AL1ST]

У самого такое Error: Fetching https://eve-ua.com/.well-known/acme-cha ... uJlgGGaWWY: Timeout
И фиг что могу сделать. Достало уже.

[yariksat]

По ссылке выше

404 :(
Не знайдено

[SPEC1AL1ST]

По ссылке выше

404 :(
Не знайдено

Так а откуда бы оно там взялось?

[yariksat]

По ссылке выше

404 :(
Не знайдено

Так а откуда бы оно там взялось?

Тогда не совсем понял что Вы этим хотели сказать?

[RaRa]

Добрый день всем!

Снова слетели конфиги snginx.conf и sapache2.conf после обновления LetsEncrypt!!!
sapache2.conf - похерен один параметр
snginx.conf - похерен весь конфиг, да в начало файла для каждого домена добавлены строки:

Code: Select all

    location ~ /\.ht    {return 404;}
    location ~ /\.svn/  {return 404;}
    location ~ /\.git/  {return 404;}
    location ~ /\.hg/   {return 404;}
    location ~ /\.bzr/  {return 404;}

    include /home/admin/conf/web/nginx.site.ru.conf*;
}
    location ~ /\.ht    {return 404;}
    location ~ /\.svn/  {return 404;}
    location ~ /\.git/  {return 404;}
    location ~ /\.hg/   {return 404;}
    location ~ /\.bzr/  {return 404;}

    include /home/admin/conf/web/nginx.i.site.ru.conf*;
}

Т.е. просто куски кода.
Соответственно nginx не перезапустился, о чём мне на почту пришли сообщения об ошибке.

Code: Select all

 * Restarting nginx nginx
nginx: [emerg] "location" directive is not allowed here in /home/admin/conf/web/snginx.conf:2
nginx: configuration file /etc/nginx/nginx.conf test failed

apache2, по всей видимости, перезапустился, т.к. конфиг испорчен некритично.

Я почитал темы и так понял, что при обновлении LetsEncrypt зачем-то старые конфиги удаляются, а новые криво создаются из шаблонов.

АДМИНИСТРАЦИЯ!

Вопрос: ЗАЧЕМ ВЫ ТРОГАЕТЕ КОНФИГИ?!!! ОНИ РАНЕЕ БЫЛИ НАСТРОЕНЫ ПРАВИЛЬНО, ВСЕ ПУТИ НА СЕРТИФИКАТЫ ТАМ ЕСТЬ! ПОЧЕМУ БЫ ПРОСТО НЕ ОБНОВИТЬ СЕРТИФИКАТЫ И ПЕРЕЗАПУСТИТЬ nginx И apache2???

И с какого перепугу я должен, как вы советуете, изменять шаблоны и для чего? Вы их замените в следующий раз с каким-нибудь обновлением, и что я должен буду заново чего-то там писать? Это тупиковый путь. Тем более, что у меня в конфигах такие параметры добавлены, которых нет в ваших шаблонах.

А если мне понадобится добавить новый домен в конфиг, то я просто скопирую в созданные по шаблону настройки недостающие части.

Когда прекратится эта ВАКХАНАЛИЯ? НЕ ТРОГАЙТЕ РАБОЧИЕ КОНФИГИ!!!

[yariksat]

Для себя сделал так - все домены выпуск сертификата в один день.Смотрю когда краиний срок и по свободному времени ставлю на дату поближе себе памятку...В этот день вручную делаю перевыпуск сертификата для всех доменов,заливаю бекап конфигов и рестарт апача и нгикса.
У меня на пока 7 обновлений сертификатов,3 удачно 4 нет.Перестал играться в рулетку и отключил крон.Буду делать как выше пока с этим что-то не сделают.
В конфигах у меня много правок от себя,с темплейтами играться что-то не охота.

[RaRa]

В конфигах у меня много правок от себя,с темплейтами играться что-то не охота.

Всеми руками ЗА! У меня аналогичная ситуация.

Но в остальном, у меня во всяком случае, ситуация требует ручного восстановления конфигов и перезапуска сервисов. После этого новые сертификаты (которые автоматом были скопированы во время обновления) начинают действовать.

Ведь во время обновления сервис автоматом перезагрузиться не может - конфиг сломан. А потому сайты продолжают функционировать в состоянии конфига до обновления сертификатов. Вот если бы они падали, это была бы очень серьёзная проблема. А пока не шибко критично, но весьма неприятно и хлопотно.

[yariksat]

Только что посмотрел - если к Весте подключен сертификат сайта то нужно тогда ещё и Весту ребутить дополнительно.Иначе на панели останется старый сертификат и после его истечения в панель можно будет не попасть.

[nabbe]

В конфигах у меня много правок от себя,с темплейтами играться что-то не охота.

А стоило бы. Править конфиги, которые собираются из шаблонов через каждый чих системы, это прям героизм)

[Stesh]

В чем заключается героизм? Ранее веста славилась тем, что можно легко править конфиг под конкретный сайт.
Основная проблема состоит в том, что веста сама делает ребилд конфигов (он всю жизнь работал криво, но мало кто этим пользовался).

Стоп.

Да же нет, не так. Веста при добавлении сертификата сносит нахрен конфиг и пытается нарисовать его заново.
Это строки в v-add-letsencrypt-domain

Code: Select all

$BIN/v-delete-web-domain-ssl $user $domain >/dev/null 2>&1
$BIN/v-add-web-domain-ssl $user $domain $ssl_dir

По идее здесь надо ставить проверку, что если у сайта ssl уже существует, то банальный рестарт

Code: Select all

$BIN/v-restart-web $restart

ЗЫ: в чем вся сила весты, как панели, так это полная открытость системы, правь - не хочу.

ЗЫЫ: оформите в багтреккер, у меня пока нет времени.