Ceci est une ancienne révision du document !
Table des matières
< retour à la page de l'administration technique
Cette page décrit la mise en place des certificats signés par Let's Encrypt sur les serveurs de FedeRez.
Installation de Let's Encrypt (Janvier 2016)
Avant-Propos
En janvier 2016, la méthode officiellement recommandée pour installer Let's Encrypt consiste à cloner le dépôt officiel de letsencrypt et d'utiliser le script officiel letsencrypt-auto
.
Il est à noter que letsencrypt reconnait officiellement que c'est une solution temporaire en attendant un packaging en bonne et due forme par les distributions. Il existe aussi d'autres clients ACME 1) que le client officiel, qui avancent certains avantages tels que la possibilité de ne pas être exécutés en root, ou bien le fait qu'ils sont fait de peu de lignes de codes et donc plus faciles à auditer.
Après avoir pris en compte tout ceci, il fut décidé de s'en tenir pour le moment au client officiel, avec pour but de migrer vers une alternative plus adaptée une fois que la poussière sera retombée et qu'une meilleure alternative stable et viable se présentera.
Vue d'ensemble du système
Pour le moment, chaque serveur est responsable de générer et faire signer les certificats pour les noms de domaines qu'il gère.
- La source de letsencrypt telle que clonée depuis le dépôt officiel se trouve dans
/opt/letsencrypt
. - Le client automatique officiel se trouve sous
/opt/letsencrypt/letsencrypt-auto
- Le virtualenv créé, mis à jour et appelé automatiquement par
letsencrypt-auto
se trouve dans/root/.local/share/letsencrypt
. Normalement y'a pas besoin d'y toucher. - La configuration et les certificats sont dans
/etc/letsencrypt
:- Le fichier de config utilisé est à créer sous
/etc/letsencrypt/cli.ini
(cf. installation ci-dessous) - La gestion des certificats est faite automatiquement par le client. Voir la documentation officielle pour plus d'informations.
- Au final la seule chose à retenir c'est que les certificats valides se situent sous
/etc/letsencrypt/live/example.org/*
- Le script de renouvellement automatique adapté à FedeRez et au serveur se trouve dans
/root/renew_letsencrypt_certificates.sh
. C'est ce script qui est appelé dans le crontab chaque jour.
Installation initiale (Janvier 2016)
Tout se fait (pour le moment) en root
sur le serveur
Clonage du dépot git de letsencrypt et bootstrap
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt /opt/letsencrypt/letsencrypt-auto --version # to bootstrap letsencrypt without doing anything else
Création du fichier de config
Créer le fichier /etc/letsencrypt/cli.ini
avec le contenu suivant:
- /etc/letsencrypt/cli.ini
# Use a 4096 bit RSA key instead of 2048 rsa-key-size = 4096 # Uncomment and update to register with the specified e-mail address email = admin@federez.net # Uncomment to use a text interface instead of ncurses text = True authenticator = apache keep-until-expiring = True expand = True
Création du script de renouvellement automatique
Le script de renouvellement automatique se trouve dans /root/scripts/renew_letsencrypt_certificates.sh
Attention, le contenu de ce script est à adapter en fonction du serveur: il faut uniquement lister les domaines qui pointent réellement sur ce serveur dans la config DNS.
- /root/scripts/renew_letsencrypt_certificates.sh
#!/usr/bin/env bash # ---------------------------------- # EXAMPLE POUR HEXAGON.FEDEREZ.NET # À ADAPTER EN FONCTION DU SERVEUR # ---------------------------------- set -e set -o pipefail OLDHASH_CERT=$(sha1sum /etc/letsencrypt/live/federez.net/fullchain.pem | cut -d" " -f 1) echo "Renewing federez.net with letsencrypt-auto..." /opt/letsencrypt/letsencrypt-auto certonly --config /etc/letsencrypt/cli.ini \ -d federez.net \ -d hexagon.federez.net \ -d www.federez.net \ -d lists.federez.net \ -d archives.federez.net \ -d journees.federez.net \ -d ldap.federez.net \ -d webldap.federez.net \ -d wiki.federez.net \ -d munin.federez.net \ -d ftp.federez.net \ -d mail.federez.net \ -d smtp.federez.net \ -d oc.federez.net \ -d roundcube.federez.net \ -d autoconfig.federez.net \ -d webmail.federez.net \ -d calendrier.federez.net \ -d compta.federez.net \ -t NEWHASH_CERT=$(sha1sum /etc/letsencrypt/live/federez.net/fullchain.pem | cut -d" " -f 1) if [[ "$OLDHASH_CERT" == "$NEWHASH_CERT" ]] then echo "INFO: No certificate renewed, will not restart services." exit fi echo "Renewal done!" # --------------------------------------------------------------------- # Ci-dessous à adapter en fonction des services présents sur le serveur # --------------------------------------------------------------------- # # for pure-ftpd # echo "Generating pure-ftpd's certificate..." # cat /etc/letsencrypt/live/federez.net/privkey.pem /etc/letsencrypt/live/federez.net/fullchain.pem > /etc/ssl/private/pure-ftpd.pem # # for postgresql # echo "Setting up certificates for postgresql..." # cat /etc/letsencrypt/live/federez.net/fullchain.pem > /etc/ssl/postgresql/fullchain.pem # cat /etc/letsencrypt/live/federez.net/privkey.pem > /etc/ssl/postgresql/privkey.pem echo "Restarting services ..." /bin/systemctl reload apache2.service /bin/systemctl reload postfix.service # /bin/systemctl restart pure-ftpd.service /bin/systemctl restart dovecot.service # /bin/systemctl restart postgresql.service
Tester la génération du certificat
chmod u+x /root/scripts/renew_letsencrypt_certificates.sh /root/scripts/renew_letsencrypt_certificates.sh
Mise en place dans le crontab
crontab -e
Insérer la ligne suivante:
TODO