Let's Encrypt 自动续期的证书 nginx 不会自动刷新

@tammy #5
@ColinZeb #9

reload 即可
30 2 * * 1 /usr/local/python/bin/certbot renew --force-renew --renew-hook "/etc/init.d/nginx reload"

@lanjz #11

照着做就行了 https://github.com/Neilpang/acme.sh/wiki/说明

用 nginx force-reload

@tammy 不需要 restart。reload 可以获取证书。

说 reload 不行的，检查一下是不是 pid 文件设置错误之类的，导致 SIGHUP 没发过去。

楼上没有一个人说 acme.sh 的--install-cert 选项?

服务 reload 不行的试试 force-reload ？

@kenX 这个功能并不好用，涉及到配置文件匹配修改。每个人写法都不一样，所以很难匹配

要 reload 的。

@jlkm2010 最近刚接触 traefik，好像也碰到了这个问题。traefik 好像内置支持 Let's Encrypt 证书的自动续期和自动更新，但对自购证书，或者外部 Let's Encrypt 自动续期的证书也无法自动加载，似乎还是需要手动重启 traefik。

有可能是证书目录的权限有问题，证书更新了，但是写入目录失败。我的当时就是这样

我司是 nginx 集群，用的也是 acme.sh 来签，其实规划好了是可以自动更新的，只需要写好脚本。
acme.sh 有 reloadcmd 功能，更新的时候会调用的

https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E#3-copy%E5%AE%89%E8%A3%85-%E8%AF%81%E4%B9%A6

#!/usr/bin/env bash

HOST_NAME="your.domain.me"

~/.acme.sh/acme.sh --issue --dns dns_ali --force \
-d ${HOST_NAME} \
-d "domain1.${HOST_NAME}" \
-d "domain2.${HOST_NAME}"

~/.acme.sh/acme.sh --installcert -d ${HOST_NAME} \
--certpath /etc/ansible/ssl_cert/${HOST_NAME}/cert.cer \
--keypath /etc/ansible/ssl_cert/${HOST_NAME}/key.cer \
--fullchainpath /etc/ansible/ssl_cert/${HOST_NAME}/fullchain.cer \
--reloadcmd "ansible-playbook /etc/ansible/playbooks/nginx_cert_deliver.yml --extra-vars \"host_name=${HOST_NAME}\""

改用 caddy 了。

@BOYPT
@nullen
求分享下 nginx 切换到 caddy 有什么要注意的地方吗？

@iiduce #34 一般来说就是 80 和 443 都让 caddy 监听就非常无痛了。
caddy 的配置异常简洁，各种功能配置都是现成。另外有个 forwardproxy plugin 很适合 fq

@iiduce 我额外开启了 tlsv1.0 的支持。其他没什么特别的。

@BOYPT
@nullen 感谢，我看看文档，切换试试。

caddy 官网写了做商业使用要收费……怕以后出问题，个人网站用用就算了