DokuWiki

Outils pour utilisateurs

Outils du site

Piste :
let_s_encrypt

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Dernière révisionLes deux révisions suivantes
let_s_encrypt [2018/01/10 03:29] simonlet_s_encrypt [2019/09/12 19:46] simon
Ligne 3: Ligne 3:
  
 ===== Configuration des certificats Let's Encrypt ===== ===== Configuration des certificats Let's Encrypt =====
 +=== Acme.sh ===
 +[[https://github.com/Neilpang/acme.sh|acme.sh (github)]] est un client pour Let's Encrypt écrit en [[bash]], avec très peu de dépendances.
 +
 +La première chose est d'installer acme.sh en suivant la [[https://github.com/Neilpang/acme.sh#1-how-to-install|procédure d'installation]]. 
 +<code bash>
 +# apt install socat
 +# curl https://get.acme.sh | sh
 +</code>
 +
 +Ensuite, il faut avoir un domaine déjà configuré en HTTP, avec un dossier accessible. Une fois que c'est fait, il n'y a plus qu'à suivre les [[https://github.com/Neilpang/acme.sh#2-just-issue-a-cert|exemples sur le github du projet]] :
 +
 +<code bash>
 +# acme.sh --issue -d plouf.com -d www.plouf.com -w /var/www/plouf/
 +</code>
 +
 +__**Bonus :**__ L'installation d'acme.sh ajoute directement une ligne dans le cron : 
 +<code bash>
 +4 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
 +</code>
 +
 +== Choisir une clé ECC et sa taille ==
 +<code bash>
 +# acme.sh --issue -d plouf.com -d www.plouf.com -w /var/www/plouf/ --keylength ec-384
 +</code>
 +
 +== Wildcard ==
 +<code bash>
 +$ acme.sh --issue -d artanux.be -d '*.artanux.be' --dns dns_ovh --keylength ec-384
 +</code>
 +
 +Détails sur la page [[acme.sh]].
 +
 +== Arrêter le renouvellement d'un certificat ==
 +Les explications sont sur [[https://github.com/Neilpang/acme.sh#13-how-to-stop-cert-renewal|la page github]] mais le plus simple est de supprimer le dossier correspondant :
 +<code bash>
 +# rm -r ~/.acme.sh/plouf.com
 +</code>
 +
 +=== Certbot ===
 +<WRAP center round important 60%>
 +Cette partie est un peu ancienne et plus forcément pertinente...
 +</WRAP>
 +
 J'ai configuré les certificats pour plusieurs noms de domaines et voici la procédure suivie, pour le domaine fictif "plouf.com". J'ai configuré les certificats pour plusieurs noms de domaines et voici la procédure suivie, pour le domaine fictif "plouf.com".
  
Ligne 24: Ligne 67:
 certbot 0.19.0 certbot 0.19.0
 </code> </code>
 +
 +<WRAP center round alert 60%>
 +Sur une installation plus récente, j'ai du passer par [[pip]] pour installer certbot 0.21. L'installation depuis les backports ne fonctionnait pas. 
 +</WRAP>
 +
  
 <code bash> <code bash>
Ligne 45: Ligne 93:
 Waiting for verification... Waiting for verification...
 Cleaning up challenges Cleaning up challenges
-Created an SSL vhost at /etc/apache2/sites-available/caliban.be-le-ssl.conf+Created an SSL vhost at /etc/apache2/sites-available/plouf.com-le-ssl.conf
 Enabled Apache socache_shmcb module Enabled Apache socache_shmcb module
 Enabled Apache ssl module Enabled Apache ssl module
-Deploying Certificate for caliban.be to VirtualHost /etc/apache2/sites-available/caliban.be-le-ssl.conf +Deploying Certificate for caliban.be to VirtualHost /etc/apache2/sites-available/plouf.com-le-ssl.conf 
-Enabling available site: /etc/apache2/sites-available/caliban.be-le-ssl.conf+Enabling available site: /etc/apache2/sites-available/plouf.com-le-ssl.conf
  
 Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
Ligne 59: Ligne 107:
 ------------------------------------------------------------------------------- -------------------------------------------------------------------------------
 Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2 Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
-Redirecting vhost in /etc/apache2/sites-enabled/caliban.be.conf to ssl vhost in /etc/apache2/sites-available/plouf.com-le-ssl.conf+Redirecting vhost in /etc/apache2/sites-enabled/cplouf.com.conf to ssl vhost in /etc/apache2/sites-available/plouf.com-le-ssl.conf
  
 ------------------------------------------------------------------------------- -------------------------------------------------------------------------------
Ligne 70: Ligne 118:
 IMPORTANT NOTES: IMPORTANT NOTES:
  - Congratulations! Your certificate and chain have been saved at:  - Congratulations! Your certificate and chain have been saved at:
-   /etc/letsencrypt/live/caliban.be-0001/fullchain.pem+   /etc/letsencrypt/live/plouf.com-0001/fullchain.pem
    Your key file has been saved at:    Your key file has been saved at:
-   /etc/letsencrypt/live/caliban.be-0001/privkey.pem+   /etc/letsencrypt/live/plouf.com-0001/privkey.pem
    Your cert will expire on 2018-04-10. To obtain a new or tweaked    Your cert will expire on 2018-04-10. To obtain a new or tweaked
    version of this certificate in the future, simply run certbot again    version of this certificate in the future, simply run certbot again
Ligne 83: Ligne 131:
 </code> </code>
  
-On peut tester un renouvelement des certificats avec la commande suivante : +On peut tester un renouvellement des certificats avec la commande suivante : 
 <code bash> <code bash>
 # certbot renew --dry-run # certbot renew --dry-run
Ligne 90: Ligne 138:
 Actuellement, ça foire chez moi... Pas encore compris pourquoi. Actuellement, ça foire chez moi... Pas encore compris pourquoi.
  
 +==== Clés plus longues ====
 +<code bash>
 +# certbot certonly -a webroot --rsa-key-size 4096 --webroot-path=/var/www/plouf.com -d plouf.com -d www.plouf.com
 +</code>
 ===== Sources ===== ===== Sources =====
   * [[https://www.sysnove.fr/blog/2016/03/utilisation-pratique-letsencrypt-acme-tiny.html|Sysnove.fr]]   * [[https://www.sysnove.fr/blog/2016/03/utilisation-pratique-letsencrypt-acme-tiny.html|Sysnove.fr]]