加密+ nginx + autorenewal +基础设施作为代码？

Question

我们的基础设施由Ansible管理(包括nginx站点配置--它们是使用模板生成的)。

现在，我们每3个月通过certbot命令自动生成letsencrypt证书，但是我们有1分钟的停机时间(我们必须停止nginx，将certbot绑定到80)。

怎么才能为自动收割机进行Letsencrypt + nginx集成？那通配符呢？

我已经找到了一些解决方案，比如如何在Ubuntu18.04上加密Nginx (包括IPv6、HTTP/2和A+ SLL评级)，但它们使用的是python-certbot-nginx，它可以修改站点信任(在下一次不能运行时，它们将被Ansible替换，因此HTTPS将被破坏)。

Answer 1

最好的选择是使用DNS certbot插件。

1. 你不需要绑定端口。
2. 在创建第一个letsencript证书之前，您不需要为nginx第一次启动生成自签名证书。
3. 通配符。