Outils pour utilisateurs

Outils du site


linux:ssl (lu 51775 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
Prochaine révision Les deux révisions suivantes
linux:ssl [16-08-2018 16:25]
edmc73 [Let's encrypt sur centos avec nginx en reverse proxy]
linux:ssl [19-03-2020 15:29]
edmc73
Ligne 7: Ligne 7:
   * https://mozilla.github.io/server-side-tls/ssl-config-generator/ un générateur de config pour votre serveur web   * https://mozilla.github.io/server-side-tls/ssl-config-generator/ un générateur de config pour votre serveur web
   * https://www.ssllabs.com/ssltest/ pour tester sir votre site est bien configuré   * https://www.ssllabs.com/ssltest/ pour tester sir votre site est bien configuré
 +  * https://blog.blaisot.org/letsencrypt-wildcard-part1.html
  
  
Ligne 65: Ligne 66:
 <code> <code>
 # apt update # apt update
-# apt install certbot -t jessie-backports+# apt install certbot 
 +</code>
  
-et la PAF !!+Pour émettre un certificat, letsencrypt doit s’assurer que vous avez bien la main sur les ressources à certifier. Letsencrypt propose 3 types de challenge :
  
-Les paquets supplémentaires suivants seront installés :  +  * HTTP-01 challenge par requête http, le plus couramment utilisé pour les certificats simples 
-  dialog python-acme python-certbot python-cffi-backend python-configargparse python-configobj python-cryptography python-dialog python-dnspython python-enum34 python-funcsigs +  * TLS-SNI-01 challenge par présentation de certificat TLSCe challenge a été désactivé suite à des problèmes de sécurité
-  python-idna python-ipaddress python-mock python-ndg-httpsclient python-openssl python-parsedatetime python-pbr python-pkg-resources python-psutil python-pyasn1 python-pyicu +  * DNS-01 : challenge par requête DNS sur une entrée TXT dans le domaine.
-  python-requests python-rfc3339 python-setuptools python-six python-tz python-urllib3 python-zope.component python-zope.event python-zope.interface +
-Paquets suggérés +
-  python-certbot-apache python-certbot-doc python-acme-doc python-configobj-doc python-cryptography-doc python-cryptography-vectors python-enum34-doc python-funcsigs-doc python-mock-doc +
-  python-openssl-doc python-openssl-dbg python-psutil-doc doc-base python-socks python-setuptools-doc python-ntlm +
-Paquets recommandés : +
-  letsencrypt +
-Les NOUVEAUX paquets suivants seront installés : +
-  certbot dialog python-acme python-certbot python-cffi-backend python-configargparse python-configobj python-cryptography python-dialog python-dnspython python-enum34 python-funcsigs +
-  python-idna python-ipaddress python-mock python-ndg-httpsclient python-openssl python-parsedatetime python-pbr python-psutil python-pyasn1 python-pyicu python-requests python-rfc3339 +
-  python-setuptools python-tz python-urllib3 python-zope.component python-zope.event python-zope.interface +
-Les paquets suivants seront mis à jour : +
-  python-pkg-resources python-six +
-2 mis à jour, 30 nouvellement installés, 0 à enlever et 101 non mis à jour. +
-Il est nécessaire de prendre 2 308 ko dans les archives. +
-Après cette opération, 11,8 Mo d'espace disque supplémentaires seront utilisés. +
-</code>+
  
 +Si dans le cas d’un site web, cette validation se résume généralement à vérifier que vous avez la main sur le serveur web, dans le cas d’un certificat wildcard il faut prouver que vous avez la main sur l’ensemble du domaine. Aussi, seul le challenge DNS-01 est possible pour des certificats wildcard letsencrypt, il faudra donc pouvoir éditer votre zone DNS pour commander ce type de certificat.
  
 Je décide d'utiliser le plugins webroot qui permet de générer les fichiers de certificat et de nous laisser libre de configurer apache comme on souhaite Je décide d'utiliser le plugins webroot qui permet de générer les fichiers de certificat et de nous laisser libre de configurer apache comme on souhaite
Ligne 108: Ligne 95:
 </code> </code>
  
 +
 +Dans le cas d'un wildcard avec authentification par DNS
 +
 +<code>
 +# certbot certonly --manual -d '*.edmc73.com'
 +Saving debug log to /var/log/letsencrypt/letsencrypt.log
 +Plugins selected: Authenticator manual, Installer None
 +Obtaining a new certificate
 +Performing the following challenges:
 +dns-01 challenge for edmc73.com
 +
 +-------------------------------------------------------------------------------
 +NOTE: The IP of this machine will be publicly logged as having requested this
 +certificate. If you're running certbot in manual mode on a machine that is not
 +your server, please ensure you're okay with that.
 +
 +Are you OK with your IP being logged?
 +-------------------------------------------------------------------------------
 +(Y)es/(N)o: y
 +
 +-------------------------------------------------------------------------------
 +Please deploy a DNS TXT record under the name
 +_acme-challenge.edmc73.com with the following value:
 +
 +6CmoURMbv3F14hJdzR8zqXrhcYJeKWJEhT8xZcz4gUY
 +
 +Before continuing, verify the record is deployed.
 +-------------------------------------------------------------------------------
 +Press Enter to Continue
 +</code>
 +C'est à ce moment la que vous allez ajouter une entrée DNS sur votre nom de domaine. Ensuite pressez Enter :)
 +
 +<code>
 +Waiting for verification...
 +Cleaning up challenges
 +
 +IMPORTANT NOTES:
 + - Congratulations! Your certificate and chain have been saved at:
 +   /etc/letsencrypt/live/edmc73.com/fullchain.pem
 +   Your key file has been saved at:
 +   /etc/letsencrypt/live/edmc73.com/privkey.pem
 +   Your cert will expire on 2033-06-13. To obtain a new or tweaked
 +   version of this certificate in the future, simply run
 +   letsencrypt-auto again. To non-interactively renew *all* of your
 +   certificates, run "letsencrypt-auto renew"
 + - If you like Certbot, please consider supporting our work by:
 +
 +   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 +   Donating to EFF:                    https://eff.org/donate-le
 +</code>
 +
 +<note warning>Attention, la méthode par DNS a une validation manuel et ne permet pas facilement d'être renouvelé automatiquement
 +
 +Vous devrez retaper la commande suivante pour renouveler le certificat à la main.
 +  # certbot certonly --manual -d *.edmc73.com
 +
 +Voir la doc: https://certbot.eff.org/docs/using.html#pre-and-post-validation-hooks\\
 +Et un tuto pour automatiser avec l'api ovh: https://buzut.net/certbot-challenge-dns-ovh-wildcard/
 +</note>
  
 Tous les fichiers sont dans **/etc/letsencrypt** Tous les fichiers sont dans **/etc/letsencrypt**
linux/ssl.txt · Dernière modification: 17-12-2023 10:35 de edmc73