Início / server / Perguntas / 795731
Accepted
rustyx
Asked: 2016-08-10 03:22:39 +0800 CST

Renovar o certificado letsencrypt no Apache httpd

  • 772

Estou usando o certbot --webrootplugin e certbot renewpara renovar o certificado, o que funciona, mas parece que httpdestá armazenando o certificado em cache e não "vê" que foi atualizado.

Existe um sinal para httpdrecarregar os certificados?

ps Prefiro não reiniciar httpdpara evitar tempo de inatividade.

httpd apache-2.4 lets-encrypt

1 respostas

  1. Best Answer

    Para conseguir httpdperceber os novos certificados, você precisa solicitar que ele faça uma " reinicialização normal ". Dos documentos:

    O USR1 ou sinal normal faz com que o processo pai avise os filhos para sair após a solicitação atual (ou sair imediatamente se não estiver atendendo a nada). O pai relê seus arquivos de configuração e reabre seus arquivos de log. À medida que cada filho morre, o pai o substitui por um filho da nova geração da configuração, que começa a atender novas solicitações imediatamente.

    Como tal, uma reinicialização normal não causará tempo de inatividade.

    Para obter letsencrypt/certbot para acionar uma reinicialização normal, use o --post-hookargumento. Este argumento executará um comando uma vez se houver tentativa de renovação de certificado. Dos documentos :

    Comando a ser executado em um shell após tentar obter/renovar certificados. Pode ser usado para implantar certificados renovados ou para reiniciar quaisquer servidores que foram interrompidos por --pre-hook. Isso só é executado se foi feita uma tentativa de obter/renovar um certificado. (padrão: Nenhum)

    Portanto, o comando que você deseja é

    certbot renew --post-hook "apachectl graceful"

    ou se for executado a partir de um cron job

    certbot renew --quiet --post-hook "apachectl graceful"

    (Obrigado a @RustyX pela ajuda com esta resposta)

    • 10

relate perguntas