Dehydrated и Let’s Encrypt на FreeBSD и Nginx

[Itnull]

Ставим

cd /usr/ports/security/dehydrated/
make install clean && rehash

mkdir -p /data/www/.well-known/acme-challenge
chown -R www:www /data/www/.well-known/acme-challenge

Конфиг

Какие доменные имена у нас

cat /usr/local/etc/dehydrated/domains.txt
test.com www.test.com

Конфиг летсинкрипта

В конфиги vhosts nginx добавляем:

include conf.d/letsencrypt.conf;

Регистрация аккаунта

dehydrated --register --accept-terms

Проверяем на ошибки:
Добавим в /usr/local/etc/dehydrated/config:

CA="https://acme-staging.api.letsencrypt.org/directory"

Проверяем:

dehydrated -c

Если будут ошибки, исправляем их и повторяем запрос

После успешного прохождения запроса удаляем в /usr/local/etc/dehydrated/config:

CA="https://acme-staging.api.letsencrypt.org/directory"

Удаляем тестовые сертификаты и все содержимое в /usr/local/etc/dehydrated/certs/

Выполняем запрос для "боевых" сертификатов:

dehydrated -c

В nginx (пример куска конфига)

server {
    listen 80;
    listen 443 ssl;
    
    server_name test.com www.test.com;
 
    location /.well-known/acme-challenge/ {
        alias /usr/local/www/dehydrated/;
    }
    
    root /data/www/your_site;
    
    include conf.d/letsencrypt.conf;
    
    ssl_certificate     /usr/local/etc/dehydrated/certs/test.com/fullchain.pem;
    ssl_certificate_key /usr/local/etc/dehydrated/certs/test.com/privkey.pem;
    
    ...
}

Автоматизация

cat /var/cron/tabs/www
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin
MAILTO=root
0 20 * * 1 /usr/local/bin/dehydrated -c && service nginx reload

dehydrated проверяется наличие сертификата, срок действия, если до истечения менее 30 дней, выписывает новый