我有一个使用 certbot/letsencrypt 证书支持 HTTPS 的服务器。
我正在进行常规软件升级,为了最大限度地减少风险和停机时间,我将在新服务器上安装新版本,并在该服务器上导入实时服务器数据进行测试。一切正常后,我将更改 DNS 记录以指向新服务器。
我的问题是我应该如何处理证书?我是否可以复制现有的证书并在必要时进行更新?或者证书是否不兼容和/或 LE 会抱怨地址在自动更新过程中已更改?LE 是否对反向 DNS 敏感(反向 DNS 可能需要更多延迟才能工作)。还有其他我没有想到的问题吗?
答案1
默认情况下,Certbot/Letsencrypt 将其配置文件和生成的证书存储在 中/etc/letsencrypt。因此,您只需将 Certbot 安装到新服务器并从旧服务器复制目录即可。当然,您必须配置 Web 服务器(Apache、Nginx,无论您使用什么),指向新服务器中的证书。
答案2
你可以复制证书,这样就可以了。也许可以将当前服务器配置为另一台服务器的反向代理,这样你就会被分类,直到你做出最后的举动。希望我能帮上忙 :)
答案3
对于那些从一台服务器迁移到另一台服务器的人 - 其中已经存在 Let's encrypt certbot,我可以分享我最近的经验。
首先,我在新服务器中更新了 NginX 配置,我使用server旧服务器的配置创建了新块。但我更改了ssl_certificate和ssl_certificate_key路径以匹配现有路径。
然后我更改了 DNS 记录 - 这使得我的服务器短暂地返回了无效证书!
最后我跑了:
certbot --nginx
这为现有的+新域名创建了新证书。
总停机时间不到 1 分钟。