Certbot 更改ACME服務器

更改ACME服務器

默認情況下，Certbot使用 https://acme-v02.api.letsencrypt.org/ 的Let’s Encrypt的生產服務器 。您可以通過--server在命令行上或在 配置文件中提供服務器ACME目錄的URL 來告訴Certbot使用不同的CA。例如，如果您想使用Let’s Encrypt的登臺服務器，則可以將其添加到命令行中。--server https://acme-staging-v02.api.letsencrypt.org/directory

如果您用于--server指定實現規范規范版本的ACME CA，則可以獲取通配符域的證書。一些CA（例如Let’s Encrypt）要求必須通過修改DNS記錄來完成對通配符域的域驗證，這意味著必須使用dns-01類型。

鎖定文件

在處理驗證時，Certbot會在您的系統上寫入許多鎖定文件，以防止多個實例覆蓋彼此的更改。這意味著默認情況下，兩個Certbot實例將無法并行運行。

由于Certbot使用的目錄是可配置的，因此Certbot將為其使用的所有目錄編寫一個鎖定文件。這包括Certbot的 --work-dir，--logs-dir和--config-dir。默認情況下，這些都是 /var/lib/letsencrypt，/var/log/letsencrypt和/etc/letsencrypt 分別。另外，如果您將Certbot與Apache或nginx一起使用，它將鎖定該程序的配置文件夾，該文件夾通常也位于 /etc目錄中。

請注意，這些鎖定文件只會阻止Certbot的其他實例使用這些目錄，而不會阻止其他進程。如果你想運行Certbot的多個實例同時你應該作為指定不同的目錄--work-dir，--logs-dir以及--config-dir對Certbot的每個實例，你想運行。

配置文件

Certbot接受一個全局配置文件，該文件將其選項應用于Certbot的所有調用。證書特定的配置選項應該在.conf 中找到的文件中進行設置/etc/letsencrypt/renewal。

默認情況下，不會創建cli.ini文件（例如，如果通過軟件包管理器安裝了Certbot，該文件可能已經存在）。創建一個后，可以使用（或更短的）指定此配置文件的位置 。配置文件示例如下所示：certbot --config cli.ini``-c cli.ini

# This is an example of the kind of things you can do in a configuration file.
# All flags used by the client can be configured here. Run Certbot with
# "--help" to learn more about the available options.
#
# Note that these options apply automatically to all use of Certbot for
# obtaining or renewing certificates, so options specific to a single
# certificate on a system with several certificates should not be placed
# here.

# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096

# Uncomment and update to register with the specified e-mail address
# email = foo@example.com

# Uncomment to use the standalone authenticator on port 443
# authenticator = standalone

# Uncomment to use the webroot authenticator. Replace webroot-path with the
# path to the public_html / webroot folder being served by your web server.
# authenticator = webroot
# webroot-path = /usr/share/nginx/html

默認情況下，搜索以下位置：

• /etc/letsencrypt/cli.ini
• $XDG_CONFIG_HOME/letsencrypt/cli.ini（或者 ~/.config/letsencrypt/cli.ini，如果$XDG_CONFIG_HOME是不設置）。

由于此配置文件適用于certbot的所有調用，因此在其中列出域是錯誤的。在cli.ini中列出域名可能會阻止續約工作。另外，由于如何解析cli.ini中的參數，因此不應列出不希望設置的選項。設置為false的選項將被舊版本的Certbot視為設置為true，因為它們已在配置文件中列出。

日志

默認情況下，certbot將狀態日志存儲在中/var/log/letsencrypt。默認情況下，一旦日志目錄中有1000條日志，certbot將開始輪換日志。這意味著一旦/var/log/letsencryptCertbot中有1000個文件，就會刪除最舊的文件，為新日志騰出空間。可以通過將所需的數目傳遞到命令行標志來更改后續日志的數目 --max-log-backups。

注意
包括Debian和Ubuntu在內的某些發行版禁用了certbot的內部日志輪換，轉而使用了更為傳統的logrotate腳本。如果您使用發行版的軟件包，并且想要更改日志輪換，請檢查/etc/logrotate.d/certbot輪換腳本。