Сисадминское
1. Когда прикручивал резервное копирование к новой Raspberry PI, обнаружил что у меня оказывается уже больше года не бэкапится архив фотографий с VPS - с тех самых пор, как он переехал на отдельный виртуальный диск. Пришлось переделывать бэкап-скрипт для серверов, чтобы умел бэкапить не только корневую файловую систему. А то у меня там --one-file-system везде стоит, чтобы всякие sys и proc не мешались.
2. Ухитрился протоптать обновление сертификатов с Let's Encrypt. У меня оно устроено так - каждую ночь запускается кроновское задание, смотрит, есть ли сертификаты, которым осталось меньше недели до истечения срока действия, и если такие найдутся, запрашивает на эти домены новые. Перед установкой нового сертификата его всячески проверяет, чтобы сервис, его использующий, не оказался нерабочим. Эти проверки-то меня и подвели.
После обновления acme_tiny она теперь заботится о формировании цепочки доверия сама. И что-то там у Let's encrypt поменялось. Соответственно со старым файлом itermediate сертификатов оно не проверяется. Теперь нужно проверять командой
openssl verify -untrusted filename.crt filename.crt
Т.е в качестве источнинка промежуточных сертифкатов использовать сам же проверяемый файл.
А у меня при непрохождении проверки удалялся не прошедший проверку сертификат и оставлялся старый. И так пять раз. На шестой день Let's Encrypt возмутился "что ты шестой раз подряд на один и тот же домен сертификат запрашиваешь? Приходи на следующей неделе".
И только в этот момент я обратил внимание на почту от крона. (и отключил задание, чтобы больше зря попыток не тратило)
А на седьмой день у старого сертификата кончился срок действия. В 5 утра по Москве. Так что целых два часа, пока я не проснулся и не начал с этим разбираться уже руками, у меня аж на трех доменах был просроченный сертифкат.
Надо бы переписать скрипт деплоймента сертификатов, чтобы в subject письма писал важную информацию, в частности успех или неудачу.
This entry was originally posted at https://vitus-wagner.dreamwidth.org/2228847.html. Please comment there using OpenID. Now there are
comments