Réponse - Informaticien.be

Poster une réponse à un sujet: Let's Encrypt, comment on fait sous LInux, comment on fait sous Windows, allez hop on partage :)

Attention, ce sujet est un sujet ancien (2868 jours sans réponse)

Liste des émoticônes

Courriel [email=nobody@nobody.org]Nom[/email]

Lien [url=http://www.website.com]Texte[/url]

Image [img]http://www.website.com/image.jpg[/img]

Aligné à gauche [align=left]Texte[/align]

Aligné à droite [align=right]Texte[/align]

Toute la largeur [align=justify]Texte[/text]

Mise en forme [highlight=pascal]Texte[/highlight]

Liste [list=square][item]BlaBla[/item][/list]

Liste Numérotée [list=decimal][item]BlaBla[/item][/list]

Spoiler [spoiler]James est le meurtrier![/spoiler]

Tout en majuscules [uppercase]Texte[/uppercase]

Tout en minuscules [lowercase]Texte[/lowercase]

[quote=antp,146137]Premier renouvellement auto d'un des certifs de mon serveur, ça a marché \o/

J'en profite pour upper ce topic : plutôt que de faire une vérif de renouvellement toutes les semaines avec le restart du serveur web d'office comme un bourrin ( :whistle: ), je fais la vérif tous les jours (comme c'est ce qu'ils conseillent de faire...) avec restart du serveur seulement s'il y a eu une modif.

Ça donne ceci dans le cron.daily:

[code]certbot renew --renew-hook "/usr/bin/update-certif.sh" > /var/log/certbot-renew.log[/code]

et ceci dans le script "update-certif.sh":

[code]cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/combined.pem
cat /etc/letsencrypt/live/domaine2/privkey.pem /etc/letsencrypt/live/domaine2/cert.pem > /etc/letsencrypt/live/domaine2/combined.pem
systemctl restart lighttpd[/code]
(dans mon cas j'avais gardé la clé combinée pour lighttpd dans le même dossier que les clés d'origine, comme j'en avais aussi besoin pour un autre truc)

edit: ah et pour s'il y en a qui comme moi ont des sous-domaines ou plusieurs domaines qu'ils veulent lier au même certif, il faut que le dossier créé par certbot dans .well-known à la racine de tous les sites pointe vers le même dossier, donc j'ai fait ceci :

[code]ln -s  /var/www/certbot/.well-known  /var/www/domaine1/.well-known
ln -s  /var/www/certbot/.well-known  /var/www/domaine2/.well-known
ln -s  /var/www/certbot/.well-known  /var/www/domaine3/.well-known
[/code]

et je lance ensuite ceci pour créer les certifs :

[code]certbot certonly --cert-name nom-de-mon-certif --webroot -w /var/www/certbot -d domaine1,domaine2,domaine3[/code][/quote]

Jean-Christophe

Pour ce qui est de la validation par DNS, quand j'ai commencé à m'en servir il y a plus d'un an, c'était déjà possible :smile:

Mais les wildcard, c'est vraiment chouette pour les tests "grandeur nature".

antp

Début mars, évidemment, c'est fin février que je me suis "amusé" à faire marcher le truc avec mes nombreux sous-domaines :kiki:

Si j'avais su j'aurais attendu une semaine...

zion

Ah mais c'est une excellente nouvelle ça mon bon monsieur! :dawa:

max

C'est assez récent, début mars:

wildcard et validation par DNS

https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579

zion

Tiens, ils acceptent les wildcards maintenant? :ocube:

antp

Bah oui on utilise aussi certbot (mais sous Fedora, donc "yum install certbot") mais avec lighttpd c'est moins automatique qu'avec Apache ou Ngix, d'où les quelques commandes

max

Merci pour le feedback.

Sinon, apt-get install certbot et roulez jeunesse :smile:

Je me suis amusé à créer des certificats wildcard (*.trololo.be) avec la certification via DNS. Très efficace (et relativement simple).

Tips: il faut créer un certificat multidomaine avec trololo.be et *.trololo.be si vous voulez utiliser ce certificat pour le domaine seul. Autre tuyau: wc.sdb.trololo.be ne sera pas validé par *.trololo.be. Le certificat n'est valide que pour un premier niveau. (A vous de créer *.sdb.trololo.be si vous avez plusieurs toilettes dans votre salle de bain).

antp

Premier renouvellement auto d'un des certifs de mon serveur, ça a marché \o/

J'en profite pour upper ce topic : plutôt que de faire une vérif de renouvellement toutes les semaines avec le restart du serveur web d'office comme un bourrin ( :whistle:

), je fais la vérif tous les jours (comme c'est ce qu'ils conseillent de faire...) avec restart du serveur seulement s'il y a eu une modif.

Ça donne ceci dans le cron.daily:

certbot renew --renew-hook "/usr/bin/update-certif.sh" > /var/log/certbot-renew.log

et ceci dans le script "update-certif.sh":

cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/combined.pem
cat /etc/letsencrypt/live/domaine2/privkey.pem /etc/letsencrypt/live/domaine2/cert.pem > /etc/letsencrypt/live/domaine2/combined.pem
systemctl restart lighttpd

(dans mon cas j'avais gardé la clé combinée pour lighttpd dans le même dossier que les clés d'origine, comme j'en avais aussi besoin pour un autre truc)

edit: ah et pour s'il y en a qui comme moi ont des sous-domaines ou plusieurs domaines qu'ils veulent lier au même certif, il faut que le dossier créé par certbot dans .well-known à la racine de tous les sites pointe vers le même dossier, donc j'ai fait ceci :

ln -s /var/www/certbot/.well-known /var/www/domaine1/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine2/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine3/.well-known

et je lance ensuite ceci pour créer les certifs :

certbot certonly --cert-name nom-de-mon-certif --webroot -w /var/www/certbot -d domaine1,domaine2,domaine3

Coyote

Et le petit tuto que j'avais suivi à l'époque pour un VPS chez OVH ==> Lien

zion

(Mais il est possible que sur certains liens il redirige vers la partie https://www classique).