在没有触发Certbot实际续签的情况下，确定证书是否应续签

Question

我试图使用Certbot允许半自动更新证书。我不希望完全自动化的更新，以避免自动的证书替换，这可能会中断业务，并确保一个有知觉的管理员，当更新实际上是为了处理潜在的负面后果。因此，我需要能够找出一份证书是否应该续签，而不是实际续签。

如果Certbot管理的指定证书到期而不触发更新本身，我如何快速和无副作用地发现？

当我发出renew命令时，会立即触发实际的更新。

当我使用带有renew标志的--dry-run命令时，更新不会被触发，但是无论证书是否到期，都会触发我的身份验证插件，因为它是在模拟身份验证。当我使用DNS进行身份验证时，实际的更新是通过动态DNS发出的，并且除了在没有管理员随时呼叫的情况下再次使用活动系统外，由于DNS预期的更新传播速度缓慢，因此每次检查都需要相当长的时间。

作为另一种选择，我可以想象使用带有-a和--dry-run标志的D4命令来选择某种不涉及DNS的非op身份验证插件，并且在得到答案之前不需要花费多分钟时间。可悲的是，Certbot附带了一个非op安装程序插件，但没有提供非op身份验证插件。开发这样一个非op身份验证插件似乎并不简单，因为身份验证插件的接口似乎需要实际的Challenge和ChallengeResponse对象由我目前还不了解的插件返回。

还有其他方法可以解决我的问题吗？或者某个地方可能有一个没有操作的身份验证插件？

Answer 1

如果在配置中启用了autorenew，并且证书被撤销，或者在到期后有一定的天数，则为certbot将续签证书.。违约30天。

任何其他证书监控脚本也可以解析、撤销和notAfter。

你试图让certbot不做它的事情似乎是很多工作，但没有什么好处。否则，你怎么知道插件在真正运行之前是否有效，如果它们从未被执行过呢？

考虑逐步建立你对自动化的信心。

• 编写一个在证书更新时重新加载服务的方法。可以在certbot钩子中使用web服务器的优雅重新加载。可能会将负载平衡的连接从主机上抽走并重新启动。
• 在测试域中以交互方式运行certbot。使用与实际相同的插件和钩子，但在一个完全不同的区域。
• 当操作系统正常运行时，在生产域中以交互方式运行certbot。在日历上预留时间来解决问题。
• 在cron中自动运行certbot。考虑安排在白天，当操作人员和他们的同事醒着的时候。

在整个过程中，您将通过certbot在本地保存以前的证书。加上保存到公共证书透明日志中的序列号。

让我们加密的一个优点是已经被许多TLS客户端信任的CA。在更新期间，主题和根不改变，只有键。使更新成为一种易于自动化的日常操作。除非你做了一些你没有描述过的异国情调，比如钥匙钉，但这是不寻常的。