На данный момент в debian 11 в main-репе лежит не очень работающая версия python3-certbot-dns-cloudflare (а в других никакой не лежит). С некоторое долей вероятности, попытавшись получить через letsencrypt certonly —dns-cloudflare НЕ-wildcard сертификат, вы получите такое (актуально это и для wildcard+domain сертификатов, само собой):
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: example.com
Type: unauthorized
Detail: During secondary validation: Incorrect TXT record
"yXsLroPbfZa-SfLffaKwwdqgyqIW_-BUbEjZ9VsPRV8" found at
_acme-challenge.example.com
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
А особо высшим пилотажем станет то, что и старые сертификаты могут перестать продлеваться — которые уже были когда-то получены ровно на этой же машине.
Решать будем по старинке, при помощи debian testing, чёртовой матери и пиннинга в апте.
Создаём файлик вроде /etc/apt/sources.list.d/bookworm.list
deb http://deb.debian.org/debian bookworm main contrib non-free
(я на всякий случай указал все репы, вы можете по вкусу что-то убрать).
Создаём файлик /etc/apt/preferences.d/bookworm
Package: *
Pin: release n=bookworm
Pin-Priority: -100
Чтобы пакеты из этого репозитория не устанавливались никогда без явного указания опции -t
Не забываем про apt update
root@server:~# apt update
Проверяем, что без -t не ставится версия из bookworm:
root@server:~# apt-get install python3-certbot-dns-cloudflare python3-certbot certbot python3-josepy python3-acme
...
python3-certbot-dns-cloudflare is already the newest version (1.6.0-1).
python3-josepy is already the newest version (1.2.0-2).
python3-josepy set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 57 not upgraded.
Ну и теперь указываем опцию -t и ставим версию из тестинга:
root@server:~# apt-get install -t bookworm python3-certbot-dns-cloudflare python3-certbot certbot python3-josepy python3-acme
Setting up certbot (1.25.0-1) ...
Setting up python3-certbot-dns-cloudflare (1.18.0-1) ...
Processing triggers for man-db (2.9.4-2) ...
Ну и как бы всё.
Единственное но — пакет и обновляться не будет из тестинга. Вам нужно будет написать правильный пиннинг, что бы пакеты, перечисленные в команде выше, имели pin=500+ при установке из bookworm — но мне тратить на статью больше 20 минут как-то лениво.
Ну и, само собой, использовать это можно не только с cloudflare — так поставится любая программа.
Прежде, чем заявить «Пффф, да всё легко, шо вы тут мне втираете», ответьте мысленно на простенький вопрос — какой объём (в количестве дисков) будет у raid10 в mdadm, если в массиве 3 диска? Ответили? Правда же вы ответили, что-то вроде «либо полтора диска, либо один диск»? Нет? Присаживайтесь — я, конечно, не коммитил в raid10.c, […]
Это достаточно старая статья, которая была когда-то давно опубликована в очень закрытом блоге (инвайт получить занимает минимум часов 10!). Планы по публикации её в публичный интернет так и не стали реальностью, поэтому статью мне пришлось стащить и… Шучу, я как минимум у двух человек уточнил (в том числе и у автора), они разрешили -) Статью […]
Некоторое время я искал вебморду для openvpn-сервера. Чуть было не написал «не простую, а золотую», но на самом деле ничего особенного — из хоть каких-то требований у меня было только 2: — полноценное управление пользователями (хотя бы отзыв сертификата) — вот тут-то почти все морды и отсеивались — деплой самого openvpn-сервера (минорно) и CA-шки, чтобы […]
Я тут внезапно ковырялся в базке блога, пытаясь обновить WP (спойлер — не вышло), и обнаружил, что первая статья в блоге была опубликована 3 марта 2010 года — Вступление Ну штош *гифка со сцепленными пальцами*. Пришло время подвести статистику и чуть-чуть двинуть свой зад дальше. За 10 лет в блоге написано: — 255 статей (эта […]
Поймите меня правильно. Я не жалуюсь на своё место работы — здесь как раз всё отлично, даже более чем. Цепочка моих руководителей — бывшие (пусть некоторые и очень бывшие) сисадмины в том или ином виде. Вот только сколько моё место просуществует, и найду ли я потом хотя бы вполовину столь же хорошую работу — вопросы […]
https://bits.debian.org/2019/07/buster-released.html https://www.opennet.ru/opennews/art.shtml?num=51041 — на русском
«Если нельзя, но очень хочется — то можно». В голове крутилась эта фраза после того, как я очередному человеку с заболеванием «докер головного мозга» вынужден был «пошутить» в духе «чувак, тебе здесь проще весь корень контейнера смонтировать как volume», а я сидел и думал, что не такая уж это и шутка, если её в десятый […]
На днях я наткнулся в очередной раз на конструкцию вида program; var=$?; if [ $var != «1»] ; then … ; fi. В этот момент я вспомнил про то, что давно уже (году в 2012-м, угу!) хотел написать статью о том, что именно происходит внутри if (кстати, и внутри while по сути). Ну просто для […]