CentOS 7 - certbot-auto 업데이트 중단됨

[ibin79]

let's encrypt ssl 업데이트시 에러 발생.

# /etc/cron.daily/php79-certbot-auto-renew
Your system is not supported by certbot-auto anymore.
Certbot will no longer receive updates.
Please visit https://certbot.eff.org/ to check for other alternatives.

CentOS 6/7 동일.

Deprecate certbot-auto outside of Debian and RHEL

• https://github.com/certbot/certbot/commit/cac9d8f75ee2ffa668d402aecfbc74f038b34d45

대안은 ?

# /usr/bin/certbot-auto --version
certbot 1.10.1

# yum info certbot

Available Packages
Name        : certbot
Arch        : noarch
Version     : 1.9.0
Release     : 1.el7
Size        : 46 k
Repo        : epel/x86_64
Summary     : A free, automated certificate authority client
URL         : https://pypi.python.org/pypi/certbot
License     : ASL 2.0
Description : certbot is a free, automated certificate authority that aims
            : to lower the barriers to entry for encrypting all HTTP traffic on the internet.

[ibin79]

기존 도메인 연장은 아직 잘 됨

[ibin79]

신규 인증서 발급 잘됨

[root@php79 stack]# ./app-install.sh --user=ssl-20210113 --domain=ssl-20210113.php79.net --app=laravel51 --php=80 --ssl --skip-install

/usr/bin/ certbot-auto 의 업데이트만 중단 된 듯.... 단 앞으로 API 변경에 대한 대응이 안되므로 잠재적인 리스크 있음.

[ibin79]

/usr/bin/certbot-auto 최초 설치시 오류

./install.sh 를 통해 certbot-auto 가 자동 설치 되지 않았으므로, 수동 설치 시도해봄.

# scripts/letsencrypt-install.sh   

### Let's Encrypt 자동화툴을 설치합니다. ###

Notice) [1/5] 인증툴인 certbot-auto 를 설치합니다. - https://certbot.eff.org/

--2021-01-14 09:27:12--  https://dl.eff.org/certbot-auto
...
2021-01-14 09:27:14 (548 KB/s) - ‘certbot-auto’ saved [77849/77849]

Skipping bootstrap because certbot-auto is deprecated on this system.
Your system is not supported by certbot-auto anymore.
Certbot cannot be installed.
Please visit https://certbot.eff.org/ to check for other alternatives.

certbot-auto 최초 실행시 bootstrap 과정에서 관련 패키지들이 설치되어야 하는데, 설치되지 않고 지원되지 않는 OS라고 중단됨.

# /usr/bin/certbot-auto 
Skipping bootstrap because certbot-auto is deprecated on this system.
Your system is not supported by certbot-auto anymore.
Certbot cannot be installed.
Please visit https://certbot.eff.org/ to check for other alternatives.

즉, certbot-auto 이 이미 설치된 경우는 일단 동작하지만, 시스템에 최초 설치시엔 안됨.

이미 설치된 경우는 다음 경로에 설치되어 사용 가능.

/opt/eff.org/certbot/venv/bin/letsencrypt --version
certbot 1.10.1

[ibin79]

임시 대응

다음처럼 CentOS를 지원하는 certbot 1.10.1로 설치하면 문제없음.

cd /usr/bin
wget -O certbot-auto https://raw.githubusercontent.com/certbot/certbot/1.10.x/certbot-auto
chmod ug+x certbot-auto
certbot-auto --install-only --no-self-upgrade -n

설치후 /usr/bin/certbot-auto --version 실행하여, 버전이 1.10.1 로 나오면 정상임

Your system is not supported by certbot-auto anymore.
Certbot will no longer receive updates.
Please visit https://certbot.eff.org/ to check for other alternatives.
certbot 1.10.1

[ibin79]

추후 대응

• [ ] snap 으로 설치? - https://certbot.eff.org/lets-encrypt/centosrhel7-nginx

참고) https://www.enteroa.com/2021/01/08/lets-encrypt-%ec%82%ac%ec%9a%a9-%eb%b0%a9%eb%b2%95-%eb%b3%80%ea%b2%bd/

[ibin79]

• Rocky Linux 8 에서는 EPEL 저장소에서 certbot 1.22.0 버전으로 잘 동작함.
  • https://github.com/php79/stack/issues/90 Rocky Linux 8, EPEL 저장소의 certbot 패키지를 설치하고, certbot-auto 호환용 링크를 생성
  • https://github.com/php79/stack/wiki/Rocky-Linux-8-%EC%B0%A8%EC%9D%B4%EC%A0%90#lets-encrypt

[ibin79]

CentOS 7 은 24년 6월 EOS 되므로 현 상태로 유지하고 이슈 종결