[WLANnews] letsencrypt + freifunk.net

[Ruben]

Mir ist gerade aufgefallen, dass wann man seine Zertifikate mit
`certbot` erneuert in der standard Debian installation, dann passiert
nichts wenn ein Zertifikat nicht "close to expiry date" ist. Also kann
man den certbot ruhig täglich aufrufen, der erneuert nur die
Zertifikate, wenn sie dran sind. Das erneuern kann man allerdings auch
beim certbot mit der option `--force-renewal` erzwingen. Falls ihr diese
Option benutzt oder eine andere Lösung als certbot, die nicht checkt, ob
das zertifikat bald abläuft, dann ist die Idee mit **alle 2 Monate
allerdings nach wie vor angebracht.

Es ist bestimmt sinnvoll die anzahl renewals zu minimieren obwohl es
anscheinend **och nicht zu dem 20 rate limit zählt**:

>You can issue 20 certificates in week 1, 20 more certificates in week
2, and so on, while not interfering with renewals of existing certificates.

Quelle: https://letsencrypt.org/docs/rate-limits/

Gruß,
Ruben

On 04.02.2017 16:08, Ruben wrote:
> Egal, ob die renewals jetzt mitzählen oder nicht, Ich finde es eine gute
> Idee, dass wir *alle am 1. des monats* erneuern. Dann sind wir schon mal
> auf der sicheren Seite für die restlichen 3 Wochen.
> 
> Ich hab das bei nord.freifunk.net erstmal angepasst, dass der nur alle 2
> Monate renewt immer am 1. des Monats mit diesem cron Eintrag:
> 
>  30 4 1 */2 *  root
> /etc/acme-tiny/nord.freifunk.net/bin/renew-cert.sh && /etc/init.d/nginx
> reload
> 
> Falls sich herrausstelen sollte, dass die renewals auch zu dem 20er
> Limit zählen, dann wäre es tatsächlich sinnvoll mehrere
> Subdomain-Zertifikate zu einem zusammenfassen, sonst besser nicht.