[ASK] cara install Lets Encrypt multi server

[cLeo]

barusan coba install LE buat 1 domain tapi ngarah ke beberapa server, tapi gagal LE nya gk valid pas dibuka di server lain, belum lagi kalo nanti renewal?
ada yang pernah mengalami?

 

[hostbadak]

Bisa pak. Kami pernah bantu setting di server client kami dengan kondisi seperti itu. Server yang request sertifikat dan melakukan renewal cukup satu server saja, sisanya menerima sertifikat dari server tersebut (copy) melalui cron harian (bisa juga dilakukan per pekan). Pendekatan lain yang bisa dicoba adalah menggunakan centralized storage untuk sertifikatnya (dan private key-nya), nanti bisa dimount via network menggunakan SSHFS atau lainnya.

Btw, errornya itu muncul saat sertifikat dideploy (dan web servernya di restart/reload) atau saat dibuka dari browser client yah, pak?

 

[cLeo]

Bisa pak. Kami pernah bantu setting di server client kami dengan kondisi seperti itu. Server yang request sertifikat dan melakukan renewal cukup satu server saja, sisanya menerima sertifikat dari server tersebut (copy) melalui cron harian (bisa juga dilakukan per pekan). Pendekatan lain yang bisa dicoba adalah menggunakan centralized storage untuk sertifikatnya (dan private key-nya), nanti bisa dimount via network menggunakan SSHFS atau lainnya.

Btw, errornya itu muncul saat sertifikat dideploy (dan web servernya di restart/reload) atau saat dibuka dari browser client yah, pak?

oh iya, berarti sertifikatnya nanti disimpan di folder yang dimount pake sshfs itu ya pak?

 

[hendra0404]

Kalau web server nya menggunakan proxy di depannya sebagai HA misalnya, bisa cukup diinstall dan jalanin LE nya di proxy server nya.
Tapi klo case nya install di banyak server yang berbeda2 tapi SSL nya satu aja tapi domain sama, solusi nya pake sharing folder / sharing drive terus di mounting ke setiap server dengan path ssl yang sudah disesuaikan dan di link ke konfigurasi masing-masing webserver.
Karena kalau ga folder sharing/mounting perlu bantuan script (misalnya di rsync setelah berhasil renew) dan wajib juga di tambah ke cronjob biar otomatis

 

[hostbadak]

oh iya, berarti sertifikatnya nanti disimpan di folder yang dimount pake sshfs itu ya pak?

Betul. Nanti server2 lain yang tidak ikut proses request sertifikat cuma nge-mount saja dan tinggal pakai sertifikatnya. Jika koneksinya sering terputus (mungkin karena masalah koneksi), bisa cron untuk sync folder /etc/letsencrypt/live/ dari server yang melakukan request sertifikat ke server-server lain yang akan menggunakan sertifikat yang sama. Dengan cara ini tidak perlu SSHFS.

Kalau semua server2 itu pakai shared filesystem, misalnya pakai DRBD, tinggal disetup supaya pathnya seragam atau bisa disesuaikan dengan server HTTPnya.

Semoga membantu.

 

[cLeo]

Betul. Nanti server2 lain yang tidak ikut proses request sertifikat cuma nge-mount saja dan tinggal pakai sertifikatnya. Jika koneksinya sering terputus (mungkin karena masalah koneksi), bisa cron untuk sync folder /etc/letsencrypt/live/ dari server yang melakukan request sertifikat ke server-server lain yang akan menggunakan sertifikat yang sama. Dengan cara ini tidak perlu SSHFS.

Kalau semua server2 itu pakai shared filesystem, misalnya pakai DRBD, tinggal disetup supaya pathnya seragam atau bisa disesuaikan dengan server HTTPnya.

Semoga membantu.

makasih ilmu nya pak, sangat membantu sekali.

trus satu lagi tentang sshfs, misal domain saya.com pake 3 server, 1 2 3, disk utama untuk mount sshfs di server 3, kemudian saya masukkan perintah renew dari server 1 dan dijawab oleh LE ke server 2, berarti sertifikat renew nya disimpen ke server 3 ya?

terus dari masing2 server 1 2 3 tetep harus reload web servernya? misal saya pake nginx (service nginx reload [centos 7] ) biar renewal serfikat kebaca di ketiga server?


mohon maaf jadi banyak tanya

 

[hostbadak]

makasih ilmu nya pak, sangat membantu sekali.

Sama2. Semoga bermanfaat juga buat teman2 yang lain juga.

trus satu lagi tentang sshfs, misal domain saya.com pake 3 server, 1 2 3, disk utama untuk mount sshfs di server 3, kemudian saya masukkan perintah renew dari server 1 dan dijawab oleh LE ke server 2, berarti sertifikat renew nya disimpen ke server 3 ya?

Sependek yang kami pahami, jika proses verifikasinya berjalan sempurna, sertifikatnya akan disimpan di server yang menjalankan perintah renew. Mohon dicatat, jika proses renewal menggunakan certbot, maka certbot akan membuat satu file di direktori ".well-known" di server di mana dia dieksekusi. Maka, jika eksekusi perintah dari server 3, dan saat server dari LetsEncrypt melakukan cek ke server 2, maka server 2 harus punya file yang dimaksud. Jika tidak, proses verifikasinya akan gagal. Dengan demikian, server 2 dan 3 juga harus punya direktori bersama (shared) untuk http://namadomain.tld/.well-known/ seperti halnya direktori untuk menyimpan sertifikat sehingga saat diperiksa oleh LetsEncrypt di server manapun (baik server 2 maupun server 3) isinya akan sama dan sesuai.

terus dari masing2 server 1 2 3 tetep harus reload web servernya? misal saya pake nginx (service nginx reload [centos 7] ) biar renewal serfikat kebaca di ketiga server?

Tetap harus reload. Pasang saja cron di ketiga server untuk reload nginxnya setiap malam (atau bisa setiap sepekan sekali jika setiap hari dinilai terlalu sering) untuk memastikan jika ada sertifikat baru maka sertifikat yang baru akan diload oleh nginx di server server. Kalaupun tidak ada perubahan, proses reload itu tidak akan mengganggu apa pun. CMIIW.

mohon maaf jadi banyak tanya

No problem. Kami senang jika apa yang kami sampaikan bermanfaat buat teman2

Semoga bermanfaat.