Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:letsencrypt [2017/10/06 22:25] – Shaka
+++ admin:services:letsencrypt [2020/04/27 15:47] – ajout de --cert-name zertrin
@@ Ligne 27: / Ligne 27: @@
 Il existe deux méthodes pour réaliser le challenge en HTTP :
  *  le serveur en standalone (qui n'est viable **UNIQUEMENT si AUCUN SERVEUR WEB NE TOURNE SUR LE PORT 80**)
- *  le webroot qui consiste à rediriger les requetes des sevreurs LE dans un dossier différent de celui de l'application web usuelle.
+ *  le webroot qui consiste à rediriger les requêtes des serveurs LE dans un dossier différent de celui de l'application web usuelle.
 Nous choisirons ici le deuxième méthode le plus souvent.
@@ Ligne 33: / Ligne 33: @@
 Pour un nginx la configuration à placer dans le vhost est la suivante :
-''location ^~ /.well-known { root /var/www/letsencrypt; }''
+  location ^~ /.well-known { root /var/www/letsencrypt; }
-Il faut que le dossier existde (un coup de mkdir devrait suffire). Il doit appartenir à l'utilisateur du certbot (root par défaut) et être disponible en lecture pour www-data.
+Il faut que le dossier existe (un coup de mkdir devrait suffire). Il doit appartenir à l'utilisateur du certbot (root par défaut) et être disponible en lecture pour www-data.
 Enfin, il faut mettre en place le cron de renouvellement des certificats s'il n'a pas été ajouté lors de l'installation du certbot (dans /etc/cron.d/certbot mode 0644)
-''0 */12 * * * root test -x /usr/bin/certbot && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "/bin/systemctl reload nginx"''
+*/12 * * * root test -x /usr/bin/certbot && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "/bin/systemctl reload nginx"
-On notera le renew hook qui permet de relancer les services si un nouveau certificat doit être pris en compte.
+On notera le renew hook qui permet de relancer les services si un nouveau certificat doit être pris en compte. On pourra faire un script pour le hook s'il n'est pas une commande courte et simple.
 Tout est prêt pour générer le certificat :)
@@ Ligne 47: / Ligne 47: @@
 Il suffit de placer une commande du type :
-'' certbot certonly --cert-name mon.certificat.tld --rsa-key-size 4096 --email admin@federez.net --webroot -w /var/www/letsencrypt -d domain1.tld -d domain2.tld
+  certbot certonly --cert-name mon.certificat.tld --rsa-key-size 4096 \
-''
+  --email admin@federez.net --webroot -w /var/www/letsencrypt -d domain1.tld -d domain2.tld
 La première fois on vous demandera de dire oui aux TOSS. Pour les test il faut apposer --dry-run. Il est obligatoire de faire des tests jusqu'à ce que ça marche, il y a toujours des oublis.
@@ Ligne 70: / Ligne 71: @@
   * Un **script de monitoring des certificats SSL** est en place pour vérifier la durée de validité restante et alerter si le certificat s'approche de son expiration : voir [[admin:services:ssl-cert-check]].
-<WRAP center round alert>
+<WRAP center round info >
-Pour le moment, **il faut absolument éviter de retirer un sous-domaine de la liste des domaines** après que le certificat ait été déjà émis. Lors du renouvellement une nouvelle "lignée" de certificats sera créée ne se trouvant pas dans le dossier de destination attendu par les services.
+Précédemment, il fallait absolument éviter de retirer un sous-domaine de la liste des domaines après que le certificat ait été déjà émis. Lors du renouvellement une nouvelle "lignée" de certificats était créée ne se trouvant pas dans le dossier de destination attendu par les services.
-Ceci est du au bug https://github.com/certbot/certbot/issues/2071
+Ceci était du au bug https://github.com/certbot/certbot/issues/2071
-Il est cependant possible d'ajouter des SAN sans problème.
+Il était cependant possible d'ajouter des SAN sans problème.
-Pour retirer un sous domaine, contactez Zertrin auparavant pour coordonner l'opération tant que le bug 2071 n'est pas résolu.
+Désormais, il suffit que l'option ''--cert-name'' soit donnée quand on appelle certbot. Cela définit la "lignée" de certificats et donc, si on retire un sous domaine de la liste, il comprendra que c'est bien ce qu'on veut faire.
 </WRAP>
@@ Ligne 94: / Ligne 95: @@
 <code>
-apt-get install -t jessie-backports certbot
+apt-get install certbot
 </code>
@@ Ligne 101: / Ligne 102: @@
 <code>
 sudo dpkg-divert --add --rename --divert /etc/cron.d/certbot.disabled /etc/cron.d/certbot
+</code>
+On désactive aussi le service et le timer systemd qui viennent en doublon du fichier de cron :
+<code>
+systemctl stop certbot.service certbot.timer
+systemctl disable certbot.service certbot.timer
+systemctl mask certbot.service certbot.timer
 </code>
@@ Ligne 245: / Ligne 253: @@
 /usr/bin/letsencrypt certonly --config /etc/letsencrypt/cli.ini --non-interactive --quiet \
+  --cert-name quigon.federez.net \
   -d quigon.federez.net \
   -d ldap-ro.federez.net \