Bom, com certonly ou --webroot, o Certbot não reinicia o nginx. Então você tem que fazê-lo para que o nginx saiba que há um novo certificado.
hmm entendi, irei reniciar… uma pergunta…Quando eu vou criar o certificado e ele me pede o dominio. Eu tenho que por dominio.com e www.dominio.com? Pois se incluo assim eu tenho que verificar em txt o dominio.com e www.dominio.com isso é certo? Ou apenas dominio.com para verificar com txt? Depois que verifiquei o dominio.com eu apenas add www. ao certificado existente sem veficar com txt. Apenas adicionando mais um domínio.
O melhor seria indicar os dois ao mesmo tempo, que se pode fazer ou em resposta à pergunta, ou atráves da opção -d (que você já usou com --expand ... mas existe também na primeira instância).
Geralmente você tem que fazer um passo de verificação por cada nome no certificado. (Aconselhamos usar um jeito automático de verificação, para que o Certbot faça o passo em vez de você fazê-lo.)
Quando recentemente pediu um certificado, existe a possibilidade de "cached authorizations", as quais podem substituir uma nova verificação por nomes específicos. Com o comportamento atual da Let's Encrypt, acho que isso só aconteceu quando emitiu o certificado anterior nos últimos 7 dias. (Isso pode provocar a impressão errônea da validação durar para sempre, que não é certo!)
No geral, você teria que fazer dois passos de validação, não apenas um passo, para pedir um certificado por dominio.com e www.dominio.com.
hmm Entendi! A principio eu estava criando para os dois… mas a verificação txt para o www falhava sempre. Dizia que não reconhecia a txt no DNS para o www. Você teria alguma ideia do pq essa falha?
Obrigado!
Não, pode tentar colocar uma entrada assim para que eu possa dar uma olhada?
Posso sim, ja tinha enviado um print sobre isso.
Quando rodei ele me gerou duas entradas txt um para dominio.com e outra para www.dominio.com
Ai fui no vultr e add as entradas… mas sempre dizia que não era recochecido.
Dns
O erro que dava:
Eu vou instalar o certificado em outro dominio, pois preciso… Vou seguir o mesmo processo, ai te reporto os detalhes.
Obrigado!
Acho que o problema aqui é que você conseguiu sim criar as entradas no Vultr, mas o servidor DNS autoritativo para esse domínio não é o Vultr. É ns1.skymail.net.br (e ns2, ns3). Alí em ns1.skymail.net.br existe myselfinmylife.com A 207.246.65.29 e www.myselfinmylife.com CNAME myselfinmylife.com que bastam para acessar o site no navegador, mas a Let’s Encrypt não sabe encontrar as outras entradas que você configurou no Vultr.
umm! pode ser isso mesmo…! então a logica é que ele busca o vultr mas esta cetado ns1.skymail.net.br correto? então o txt sem www eu consegui configurar por ter colocado isso?
_acme-challenge.myselfinmylife.com > ns1.vultr.com
ta dizendo que quando bater no sky ele vai busrcar esse valor no vultr?
Obrigado!
É isso mesmo eu adicionei uma entrada assim:
_acme-challenge.www.myselfinmylife.com > ns1.vultr.com para o outro dominio que estou testando e encontrou na hora a entrada.
Teria algum jeito mais simples e limpo de gerar o mesmo resultado?
Obrigado!
Acho que ainda não solucionou, porque parece que o que adiciou foi um CNAME apontando para o domínio myselfinmylife.com.
Em qualquer caso, criar entradas num painel não é o que sugerimos porque teria que fazê-lo para renovar o certificado, que é muito chato e também fácil de esquecer. Basicamente o que deveria fazer é:
- Para cada domínio, verificar qual empresa deveria ser responsável pelo serviço DNS (lembrando que o provedor DNS pode ser o registrador do domínio, ou o provedor de hospedagem, ou nenhum desses dois, e que você tem a opção de escolher o provedor DNS). Atualizar a configuração de acordo com seus planos.
- Se tem um provedor DNS que oferece um API para atualizações, deixar seu cliente Let’s Encrypt usar esse API para resolver os DNS-01 challenges.
- Se seu provedor não oferece um API,
(1) mudar para outro, ou
(2) criar um CNAME para_acme-challengeapontando para outro_acme-challengeem outro domínio que tem um provedor DNS com um API.
Entendi… então o que eu fiz foi testar isso em outro domínio me referia a esse aqui>
inseri essas entradas>
e no skymail>
E a verificação do txt de dominio para www e nao-www foram feitas com sucesso!
Na teoria preferimos o uso de um CNAME ao uso de um NS assim, mas é bom saber que deu certo!
Entendi… no caso se for usar o Cname como ficaria?
Muito Obrigado!
Vamos imaginar que tenho dois domínios, facil.net e dificil.org.br. O facil.net tem um provedor de DNS com um API que facilita a atualização automática da zona; o dificil.org.br não.
Assim posso colocar
_acme-challenge.dificil.org.br CNAME _acme-challenge.facil.net
no servidor DNS do dificil.org.br.
Uma vez que isso for feito, a Let’s Encrypt aceitará a entrada _acme-challenge.facil.net (que como mencionei acima posso atualizar por meio de um API nessa hipótese) quando ela tentar verificar o controle de dificil.org.br. Assim posso configurar meu cliente Let’s Encrypt com as credenciais para atualizar a zona facil.net e pedir certificados para dificil.org.br, sem mais alterações ou atualizações na zona do dificil.org.br.
No seu caso acima a ideia seria criar um CNAME apontando para outro domínio que você tem no provedor “mais fácil”. (Já que nos dois casos continua atualizando no interface web e não com API, talvez não melhoraria tanto sua experiência ainda.)
hmm Entendi! no caso de usar API por onde devo começar? Sou leiga no assunto rsrs
Os registros que apontamos para a skymail… não temos nenhuma hospedagem só usamos o DNS mesmo, devido ao de hospedagem de E-mails. Isso dificulta as coisas?
Sobre atualizar seria o que? a própria aplicação? Como esta rodando no server pilot eu inclui a renovação automática no cron também.
Muito Obrigado!
Um DNS API é um jeito de um software solicitar a atualização de entradas DNS no servidor DNS, sem intervenção manual. Alguns provedores o oferecem de alguma forma.
Infelizmente, a renovação automática não funciona com o DNS-01 challenge exceto com um DNS API, porque a Let's Encrypt dará sempre um novo valor para a entrada _acme-challenge a cada renovação. E a renovação automática não pode usar seu painel de configuração DNS. É por isso que o DNS API ajuda bastante.
Ahh entendi poxa 
pra poder usar DNS API por onde eu deveria começar pra poder entender?
Obrigado!
Falar com a equipe do provedor, talvez.
Por causa da possibilidade do CNAME, não necessariamente precisa de um API diretamente no provedor. Por exemplo, muita gente optou usar o serviço de DNS de CloudFlare porque tem um API (mesmo que não usem CloudFlare para outros serviços).
Ah entendi! Obrigado! No caso teria varios serviços de APIS DNS correto?
Como esse que comentaram aqui no forum mesmo
Eu vou ler mais sobre isso.
Obrigado!