Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:letsencrypt [2017/03/24 18:20] – [Configuration des services pour faire usage des certificats letsencrypt] lhark
+++ admin:services:letsencrypt [2020/04/27 17:03] – mise à jour zertrin
@@ Ligne 18: / Ligne 18: @@
 Après avoir pris en compte tout ceci, il fut décidé de s'en tenir //pour le moment// au client officiel, avec pour but de migrer vers une alternative plus adaptée une fois que la poussière sera retombée et qu'une meilleure alternative stable et viable se présentera.
+==== Procédure d'install plus simple ====
+Le certbot a évolué depuis le début et il n'est plus nécessaire d'effectuer des hacks aussi gros pour le faire marcher. Les plugins automatiques type apache et nginx peuvent avoir des comportements non désirés dans des configurations non usuelles, il est déconseillé de les utiliser.
+On installera le certbot depuis les backports jessie ou les dépots stretch.
+Il existe deux méthodes pour réaliser le challenge en HTTP :
+ *  le serveur en standalone (qui n'est viable **UNIQUEMENT si AUCUN SERVEUR WEB NE TOURNE SUR LE PORT 80**)
+ *  le webroot qui consiste à rediriger les requêtes des serveurs LE dans un dossier différent de celui de l'application web usuelle.
+Nous choisirons ici la deuxième méthode.
+Pour un nginx la configuration à placer dans le vhost est la suivante :
+  location ^~ /.well-known { root /var/www/letsencrypt; }
+Il faut que le dossier existe (un coup de mkdir devrait suffire). Il doit appartenir à l'utilisateur du certbot (root par défaut) et être disponible en lecture pour www-data.
+Enfin, il faut mettre en place le cron de renouvellement des certificats s'il n'a pas été ajouté lors de l'installation du certbot (dans /etc/cron.d/certbot mode 0644)
+*/12 * * * root test -x /usr/bin/certbot && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "/bin/systemctl reload nginx"
+On notera le renew hook qui permet de relancer les services si un nouveau certificat doit être pris en compte. On pourra faire un script pour le hook s'il n'est pas une commande courte et simple.
+Tout est prêt pour générer le certificat :)
+Il suffit de placer une commande du type :
+  certbot certonly --cert-name mon.certificat.tld --rsa-key-size 4096 \
+  --email admin@federez.net --webroot -w /var/www/letsencrypt -d domain1.tld -d domain2.tld
+La première fois on vous demandera de dire oui aux TOSS. Pour les test il faut apposer --dry-run. Il est obligatoire de faire des tests jusqu'à ce que ça marche, il y a toujours des oublis.
+Si on veut étendre un certificat existant on peut placer un --extend et il faut mettre le même nom.
+Pour avoir une idée de quels certificats sont existants un ''certbot certificates'' marche très bien.
 ==== Vue d'ensemble du système ====
@@ Ligne 32: / Ligne 71: @@
   * Un **script de monitoring des certificats SSL** est en place pour vérifier la durée de validité restante et alerter si le certificat s'approche de son expiration : voir [[admin:services:ssl-cert-check]].
-<WRAP center round alert>
+<WRAP center round info >
-Pour le moment, **il faut absolument éviter de retirer un sous-domaine de la liste des domaines** après que le certificat ait été déjà émis. Lors du renouvellement une nouvelle "lignée" de certificats sera créée ne se trouvant pas dans le dossier de destination attendu par les services.
+Précédemment, il fallait absolument éviter de retirer un sous-domaine de la liste des domaines après que le certificat ait été déjà émis. Lors du renouvellement une nouvelle "lignée" de certificats était créée ne se trouvant pas dans le dossier de destination attendu par les services.
-Ceci est du au bug https://github.com/certbot/certbot/issues/2071
+Ceci était du au bug https://github.com/certbot/certbot/issues/2071
-Il est cependant possible d'ajouter des SAN sans problème.
+Il était cependant possible d'ajouter des SAN sans problème.
-Pour retirer un sous domaine, contactez Zertrin auparavant pour coordonner l'opération tant que le bug 2071 n'est pas résolu.
+Désormais, il suffit que l'option ''--cert-name'' soit donnée quand on appelle certbot. Cela définit la "lignée" de certificats et donc, si on retire un sous domaine de la liste, il comprendra que c'est bien ce qu'on veut faire.
 </WRAP>
@@ Ligne 56: / Ligne 95: @@
 <code>
-apt-get install -t jessie-backports certbot
+apt-get install certbot
 </code>
@@ Ligne 63: / Ligne 102: @@
 <code>
 sudo dpkg-divert --add --rename --divert /etc/cron.d/certbot.disabled /etc/cron.d/certbot
+</code>
+On désactive aussi le service et le timer systemd qui viennent en doublon du fichier de cron :
+<code>
+systemctl stop certbot.service certbot.timer
+systemctl disable certbot.service certbot.timer
+systemctl mask certbot.service certbot.timer
 </code>
@@ Ligne 107: / Ligne 153: @@
 mkdir -p /var/www/letsencrypt/.well-known/acme-challenge
 </code>
 Pour éviter de définir pour chaque site un bloc de configuration pour HTTP afin de rediriger les navigateurs vers la version HTTPS de chaque site, on peut créer un fichier '''/etc/apache2/sites-available/000-no-tls.conf''' avec :
 <file apache /etc/apache2/sites-available/000-no-tls.conf>
 <VirtualHost *:80>
@@ Ligne 148: / Ligne 194: @@
 On s'assurera que le module '''mod_rewrite''' est bien chargé :
   a2enmod rewrite
 Ensuite, il faut activer la configuration du site qui gère HTTP avec :
   a2ensite 000-no-tls
-Enfin, on peut supprimer tous les VHOST HTTP pour ne laisser que les blocs qui concernent HTTPS dans les fichiers de configuration d'Apache. Puis on recharge la configuration d'apache :
+Enfin, on peut supprimer tous les VHOST HTTP pour ne laisser que les blocs qui concernent HTTPS dans les fichiers de configuration d'Apache.
+Notamment, s'il n'est pas utilisé pour autre chose, il faut désactiver la config ''000-default.conf'' avec ''a2dissite 000-default.conf''. Sinon il prend précédence sur le ''000-no-tls.conf'' qu'on vient de définir.
+Puis on recharge la configuration d'apache :
   service apache2 reload
@@ Ligne 159: / Ligne 213: @@
   - Créer un fichier de test : ''echo 'This is a test' > /var/www/letsencrypt/.well-known/acme-challenge/test''
   - Depuis une autre machine, utiliser le oneliner suivant pour tester l'accès à ce fichier de test (remplacer ''quigon ldap-ro wiki-backup git'' par les sous-domaines à tester) :
+  - s'assurer de voir ''This is a test'' retourné pour chaque sous domaine (et donc pas une erreur 404).
 <code>
@@ Ligne 178: / Ligne 233: @@
 # ----------------------------------
-#  EXAMPLE POUR QUIGON.FEDEREZ.NET
+#  EXAMPLE POUR EXMAPLE.FEDEREZ.NET
 #  À ADAPTER EN FONCTION DU SERVEUR
 # ----------------------------------
@@ Ligne 187: / Ligne 242: @@
 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
-FULLCHAINPATH="/etc/letsencrypt/live/EXAMPLE.federez.net/fullchain.pem"
+# remplacer avec le bon chemin, cf le --cert-name ci-dessous
+FULLCHAINPATH="/etc/letsencrypt/live/EXMAPLE.federez.net/fullchain.pem"
 if [[ -e "$FULLCHAINPATH" ]]
@@ Ligne 198: / Ligne 254: @@
 echo "Renewing federez.net with letsencrypt-auto..."
-# Pour le moment, il faut absolument éviter de retirer un sous-domaine de la liste des domaines
+# Bien s'assurer que le --cert-name est défini, sinon il y aura des problèmes si on veut retirer des domaines.
-# après que le certificat ait été déjà émis. Lors du renouvellement une nouvelle “lignée” de
+# De préférence mettre le meme nom que le premier domaine demandé, qui est de préférence le FQDN du serveur.
-# certificats sera créée ne se trouvant pas dans le dossier de destination attendu par les services.
-#
-# Ceci est du au bug https://github.com/letsencrypt/letsencrypt/issues/2071
-#
-# Il est cependant possible d'ajouter des SAN sans problème.
 /usr/bin/letsencrypt certonly --config /etc/letsencrypt/cli.ini --non-interactive --quiet \
-  -d quigon.federez.net \
+  --cert-name EXMAPLE.federez.net \
+  -d EXMAPLE.federez.net \
   -d ldap-ro.federez.net \
   -d wiki-backup.federez.net \
@@ Ligne 237: / Ligne 289: @@
   echo "Restarting services ..."
   /bin/systemctl reload apache2.service
-  /bin/systemctl reload postfix.service
+  # /bin/systemctl reload postfix.service
   # /bin/systemctl reload proftpd.service
   # /bin/systemctl restart dovecot.service