Nice. Já bych to asi napsal v pythonu, v četně třeba alertu, že se nepodařilo obnovit, když se nepodaří obnovit. Může se změnit API, nebo co já vím a pak bys mohl mít skrytý problém, o kterém se nějakou dobu nedozvíš.

Spíš bych kontroloval reálný datum vypršení certifikátu než poslední změnu souboru s certifikátem.

for a in $(cat seznam_certifikatu.txt) ; do
if [ -f $a ] ; then
 if ! openssl x509 -in $a -checkend $INTERVAL > /dev/null ; then
  notify
 fi
fi
done

ja to mam cca takhle:

#!/bin/bash
cd /root/letsencrypt/letsencrypt


domain=www.example.com
webroot=/data/www/www.example1.com/html/letsencrypt/www.example.com/
days=65
certfile=/etc/letsencrypt/live/www.example.com/cert.pem
email=mail@example.com

./letsencrypt-auto --email $email  --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory -v -t   -a webroot    --webroot-path $webroot  -d $domain  auth >>/var/log/letsencrypt/console.l

firstline="Script $0 at "`hostname`" designed to renew letsencrypt certificate"
subj='[letsencrypt]['"$domain"'] Certificate renewal'
if openssl x509 -checkend $(($days*86400)) -noout -in $certfile
then
  {
  echo $firstline
  echo "Renewed Certificate is valid for at least $days days!"
  openssl x509 -noout -text -in $certfile
  } | mail -s "$subj" $email
else
 {
  echo $firstline
  echo "Certificate has expired or will do so within $days days (or is invalid/not found)!"
  openssl x509 -noout -text -in $certfile
  } | mail -s "$subj FAILED - manual action required" $email
fi
#service httpd restart

Je to zatím taky jen prototyp, ale mělo by to fungovat. Chybí tomu zatím nějaké zhezčení a nějaký lepší management těch certifikátů, protože plánuju mít na jednom serveru hromadný management všech certifikátů ze strojů, kde nebudu chtít instalovat tu jejich utilitu.

I proto je ta cesta k tomu webu trochu složitější, protože se počítá s tím, že webserver běží na jiném stroji a má nějakou takovouto sekci:

        location /.well-known/acme-challenge/ {
            return 301 $scheme://www.example1.com/letsencrypt/www.example.com$request_uri;
        }

T.j. letsencrypt-auto běží na stroji www.example1.com, obnovuje doménu example.com, na jejímž serveru je jen přesměrování a vlastní ověření tak ve skutečnosti proběhne na www.exmaple1.com. Toto funguje bez problému, zatím jsem to zkoušel jen na stejném stroji, takže proto je tam zaremovaný ten restart toho webserveru, ale počítám s tím, že se to přes SSH nacpe kam potřebuje a tam zrestartuje...

V principu mi jde o to, abych nemusel tu jejich utilitu instalovat na všech strojích a abych měl všechny certifikáty na jednom místě. Půjdo pak snadněji spravovat a ideálně i výše uvedený skript bude jen zárodkem pro komplexnější management - třeba že všechny obnovené domény z jednoho stroje nahraje na ten server najednou a udělá jen jeden restart nebo bude posílat pravidelně přehled certifikátů....