2018/09/22
certbot-autoの--pre-hookと--deploy-hookと--post-hook
こいつら微妙に違う。
共通して言えるのは「証明書の更新が必要な時に動く」こと。

--pre-hook更新作業前に1度だけ実行
--deploy-hook証明書ごとに実行
--post-hook更新作業後に1度だけ実行

フローチャート

たとえば証明書が複数有り……
  • 両方更新が無ければ何もせずに終了する。
  • 1枚だけ更新があれば pre → deploy → post の順に実行される。
  • 複数更新があれば pre → 複数回 deploy → post の順に実行される。
ここで重要なのは pre と post は 1回しか実行されないことと deploy は複数回実行されること。

使い分けとしては、証明書をサービスごと (例えば httpd と postfix と dovecot) に分けるのであれば、各サービスごとに deploy で証明書のコピーとプロセスの再起動を行えば良い。
pre と post はあまり使わないかも。

無理矢理使うのであれば、証明書の更新の際にメールを送るようにしたいとき、deploy で複数メールを送ると何通もメールが届くので、
preで一時ファイルをクリア

deployでRENEWED_DOMAINSやRENEWED_LINEAGEを追記モード (>>) で一時ファイルにリダイレクト

postで一時ファイルをcatしてメールする
なんて方法がある。

なお、/etc/letsencrypt/renewal-hooks/ の下に pre、deploy、post ディレクトリがあるが、この中にスクリプトを入れておくとそれぞれのタイミングでそのディレクトリの中に有るスクリプトを実行してくれる。
また、オプションで --pre-hook、--deploy-hook、--post-hook により実行するスクリプトを指定出来るが、それらと /etc/letsencrypt/renewal-hooks/ の下に有る pre/deploy/post は共存可能である。
# どっちが先に実行されるかは不明なので順番を考慮しないようにしましょう。



deploy では
RENEWED_DOMAINS:更新されたドメイン名の一覧 (半角スペース区切り)
RENEWED_LINEAGE:新しい証明書と暗号鍵を含む live サブディレクトリ名
の環境変数が利用可能なので有効活用しよう。
ただし FreeBSD の certbot (py27-certbot-0.25.1,1) では変数がセットされたりされなかったりと不安定だったので、RENEWED_LINEAGE については直打ちで対処しよう。

他には CERTBOT_* なんて環境変数もあるが、ろくに使えないので使わない方がいい。
特に CERTBOT_DOMAIN は証明書のコモンネームを保持していると思いきや、証明書で SANs を使うと一番最後にオーセンティケーターで承認したドメイン名が保存されているのでコモンネームと一致しない。
コモンネームを取得したいのであれば RENEWED_LINEAGE を / で区切った一番最後の文字列を取得すると良い。
echo ${RENEWED_LINEAGE} | awk -F/ '{print $NF}'


最終:2018/09/22 04:00:20 カテゴリ:
タグ:鯖管理
  - NO COMMENT -
QRコード
携帯サイト試験運用
https://griffonworks.net/nikki/cgi-bin/k.cgi
1行板

備忘録
  • 無し
物欲リスト
  • cactus RF60 (3本目)
    Godoxに化けました(
  • ZD 50mm Macro
  • TG-TRACKER
  • NISSIN LS-50C
  • Godox Xpro-C
  • F2以下の24mm単焦点
  • Canon EF85mm F1.8 中古
  • Canon EF50mm F1.2L USM 中古
  • Canon EF135mm F2L USM 中古
  • Canon EF100mm F2.8L IS USM 中古
  • ニンバス チヌーク
ツーリング ドライブ兼野外撮影予定リスト