Нужен совет по использованию Certbot с Nginx для SSL-сертификатов

Мне нужен совет о том, как правильно использовать Certbot для получения SSL-сертификатов от Let’s Encrypt. Для контекста, я делаю это в скрипте, поэтому мне нужно, чтобы это было неинтерактивно.

У меня есть базовый файл конфигурации для веб-сервиса:

server {
    listen 80;
    listen [::]:80;
    server_name domain.tld;
    root /var/www/super_site/public;
    index index.php index.html;

    access_log /var/log/nginx/super_site_access.log;
    error_log /var/log/nginx/super_site_error.log;

    location / {
        try_files \$uri \$uri/ /index.php;
    }

    location ~ ^/(doc|sql|setup)/ {
        deny all;
    }

    location ~ \.php$ {
        fastcgi_pass unix:/run/php/php8.3-fpm.sock;
        fastcgi_param SCRIPT_FILENAME \$document_root\$fastcgi_script_name;
        include fastcgi_params;
        include snippets/fastcgi-php.conf;
    }

    location ~ /\.ht {
        deny all;
    }
}

Затем я запускаю Certbot, чтобы получить сертификаты:

sudo certbot --nginx --agree-tos --redirect --hsts --staple-ocsp --email [email protected] -d domain.tld -d www.domain.tld

Certbot выполняет свою работу и возвращает:

Поздравляем! Вы успешно включили HTTPS на https://....

Все работает, но когда я смотрю на файл конфигурации в /etc/nginx/conf.d, он выглядит не очень аккуратно.

        server {
        server_name domain.tld;
        root /var/www/super_site/public/;
        index index.php index.html;

        access_log /var/log/nginx/super_site_access.log;
        error_log /var/log/nginx/super_site_error.log;

        location / {
            try_files $uri $uri/ /index.php;
        }

        location ~ ^/(doc|sql|setup)/ {
            deny all;
        }

        location ~ \.php$ {
            fastcgi_pass unix:/run/php/php8.3-fpm.sock;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
            include snippets/fastcgi-php.conf;
        }

        location ~ /\.ht {
            deny all;
        }
    
    listen [::]:443 ssl; # управляется Certbot
    listen 443 ssl; # управляется Certbot
    ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem; # управляется Certbot
    ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem; # управляется Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # управляется Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # управляется Certbot


    add_header Strict-Transport-Security "max-age=31536000" always; # управляется Certbot


    ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem; # управляется Certbot
    ssl_stapling on; # управляется Certbot
    ssl_stapling_verify on; # управляется Certbot

}            server {
    if ($host = domain.tld) {
        return 301 https://$host$request_uri;
    } # управляется Certbot


        listen 80;
        listen [::]:80;
        server_name domain.tld;
        root /var/www/super_site/public/;
        index index.php index.html;

        access_log /var/log/nginx/super_site_access.log;
        error_log /var/log/nginx/super_site_error.log;

        location / {
            try_files $uri $uri/ /index.php;
        }

        location ~ ^/(doc|sql|setup)/ {
            deny all;
        }

        location ~ \.php$ {
            fastcgi_pass unix:/run/php/php8.3-fpm.sock;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
            include snippets/fastcgi-php.conf;
        }

        location ~ /\.ht {
            deny all;
        }

}

Certbot здесь полезен:

include /etc/letsencrypt/options-ssl-nginx.conf; # управляется Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # управляется Certbot


add_header Strict-Transport-Security "max-age=31536000" always; # управляется Certbot


ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem; # управляется Certbot
ssl_stapling on; # управляется Certbot
ssl_stapling_verify on; # управляется Certbot

Потому что, в некоторых смыслах, я все еще учусь, и это показывает мне, как настроить SSL.

Когда я смотрю на документацию, я думаю, что мне следует использовать опцию ‘certonly’? И написать файл конфигурации самостоятельно.

sudo certbot certonly -n --nginx --agree-tos --redirect --hsts --staple-ocsp --email [email protected] -d domain.tld www.domain.tld

Файл конфигурации мог бы выглядеть так:

    server {

    if ($host = domain.tld) {
            return 301 https://$host$request_uri;
    } 

    listen 80;
    listen [::]:80;
    listen [::]:443 ssl; 
    listen 443 ssl;

    server_name domain.tld;
    root /var/www/super_site/public;
    index index.php index.html;

    access_log /var/log/nginx/super_site_access.log;
    error_log /var/log/nginx/super_site_error.log;

    ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem; 
    ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem; 
    include /etc/letsencrypt/options-ssl-nginx.conf; 
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; 

    add_header Strict-Transport-Security "max-age=31536000" always; # управляется Certbot

    ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location / {
        try_files \$uri \$uri/ /index.php;
    }

    location ~ ^/(doc|sql|setup)/ {
        deny all;
    }

    location ~ \.php$ {
        fastcgi_pass unix:/run/php/php8.3-fpm.sock;
        fastcgi_param SCRIPT_FILENAME \$document_root\$fastcgi_script_name;
        include fastcgi_params;
        include snippets/fastcgi-php.conf;
    }

    location ~ /\.ht {
        deny all;
    }
}

Использование опции ‘certonly’ — это то, что мне нужно? Или я что-то упустил? Я знаю, что мне нужно улучшить свои знания. Спасибо за ваше время и помощь.