Игнорироватьcsr
и keys
каталоги; они по существу просто содержат временные файлы во время выдачи.
Certbot всегда помещает последнюю версию всех сертификатов в /etc/letsencrypt/live
:
/ И т.д. / letsencrypt / жить Mail── mail.example.org Cer ├── cert.pem -> ../../archive/mail.example.org/cert8.pem Chain ├── chain.pem -> ../../archive/mail.example.org/chain8.pem Full ├── fullchain.pem -> ../../archive/mail.example.org/fullchain8.pem │ └── privkey.pem -> ../../archive/mail.example.org/privkey8.pem Ex── www.example.org Cer── cert.pem -> ../../archive/www.example.org/cert7.pem Chain── chain.pem -> ../../archive/www.example.org/chain7.pem Full── fullchain.pem -> ../../archive/www.example.org/fullchain7.pem Priv── privkey.pem -> ../../archive/www.example.org/privkey7.pem
Поэтому вы должны настроить службы следующим образом:
SSLCertificateFile /etc/letsencrypt/live/www.example.org/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/www.example.org/privkey.pem
Таким образом, сервисы необходимо перезагружать, а не перенастраивать, после каждого обновления. Используйте функцию certbot «deploy hook» для автоматизации изменения разрешений, перезагрузки служб и всего остального, что требует автоматизации.