web-dev-qa-db-fra.com

Différence entre certbot et certbot-auto

J'utilise letsencrypt pour que mon serveur prenne en charge https. En regardant autour, je trouve des commandes avec certbot et d'autres avec certbot-auto avec des fonctionnalités similaires. Avez-vous besoin d'utiliser systématiquement l'un ou l'autre? Quelqu'un peut-il expliquer la différence et dans quel cas vous utiliseriez chacun?

lets-encryptcertbot
13
Sarah N

Si vous utilisez la commande certbot ou letsencrypt, vous utilisez des packages fournis par le fournisseur de votre système d'exploitation, qui sont souvent lents à mettre à jour. Si tel est le cas, vous devriez probablement passer à certbot-auto, qui fournit la dernière version de Certbot sur une variété de systèmes d'exploitation.

À partir d'ici: https://community.letsencrypt.org/t/important-what-you-need-to-know-about-tls-sni-validation-issues/50811

3
SpareTheRod

Il y a une différence importante (au moins, dans deux de mes configurations de production)

Ces informations sont à jour en date du 2020-04-05

Certbot est la version "officielle" du système d'exploitation, tandis que certbot-auto est la version de pointe, qui doit être téléchargée manuellement.

Cela dit, il semble y avoir une différence clé involontaire lorsque vous travaillez avec des certificats Wildcard sans script d'automatisation (c'est-à-dire que Digital Ocean A un script automatique, donc dans votre cas, ce ne sera pas un problème)

  1. cerbot-auto (v. 1.3.0) NE renouvellera PAS ses propres certificats à l'approche de la date d'expiration.
  2. certbot (v. 0.31.0) RENOUVELERA vos certificats certbot-auto qui expirent presque, générés par Wildcard.

Bien sûr, cela semble être un bug qui doit être corrigé, mais en attendant, il est valide d'utiliser "certbot" pour MANUELLEMENT renouveler "certbot-auto" -générés certificats. Les instructions ne vous orientent pas dans cette direction.

certbot certonly --manual --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory -d "*.example.com" -d example.com

REMARQUE: cela semble affecter uniquement les caractères génériques (* .example.com), les certificats scriptés NON automatiques. Il est de votre responsabilité de vérifier la viabilité de votre configuration particulière.

0
alejandrob