admin:services:letsencrypt
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:letsencrypt [2016/08/25 11:20] – [Installation] Configuration de HTTP en un fichier david | admin:services:letsencrypt [2020/06/17 18:23] (Version actuelle) – zertrin | ||
---|---|---|---|
Ligne 2: | Ligne 2: | ||
Cette page décrit la mise en place des certificats signés par [[https:// | Cette page décrit la mise en place des certificats signés par [[https:// | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Quand vous créez un nouveau certificat ou si vous ajoutez des sous-domaines dans un certificat existant, pensez bien à mettre à jour le script de monitoring des certificats SSL : cf [[admin: | ||
+ | </ | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Pour les tests il faut apposer temporairement '' | ||
+ | </ | ||
===== Mise en place de Let's Encrypt sur les serveurs FedeRez ===== | ===== Mise en place de Let's Encrypt sur les serveurs FedeRez ===== | ||
Ligne 18: | Ligne 26: | ||
Après avoir pris en compte tout ceci, il fut décidé de s'en tenir //pour le moment// au client officiel, avec pour but de migrer vers une alternative plus adaptée une fois que la poussière sera retombée et qu'une meilleure alternative stable et viable se présentera. | Après avoir pris en compte tout ceci, il fut décidé de s'en tenir //pour le moment// au client officiel, avec pour but de migrer vers une alternative plus adaptée une fois que la poussière sera retombée et qu'une meilleure alternative stable et viable se présentera. | ||
+ | |||
+ | ==== Procédure d' | ||
+ | |||
+ | Le certbot a évolué depuis le début et il n'est plus nécessaire d' | ||
+ | |||
+ | On installera le certbot depuis les backports jessie ou les dépots stretch. | ||
+ | |||
+ | Il existe deux méthodes pour réaliser le challenge en HTTP : | ||
+ | | ||
+ | | ||
+ | |||
+ | Nous choisirons ici la deuxième méthode. | ||
+ | |||
+ | Pour un nginx la configuration à placer dans le vhost est la suivante : | ||
+ | |||
+ | location ^~ / | ||
+ | |||
+ | Il faut que le dossier existe (un coup de mkdir devrait suffire). Il doit appartenir à l' | ||
+ | |||
+ | Enfin, il faut mettre en place le cron de renouvellement des certificats s'il n'a pas été ajouté lors de l' | ||
+ | |||
+ | 0 */12 * * * root test -x / | ||
+ | |||
+ | On notera le renew hook qui permet de relancer les services si un nouveau certificat doit être pris en compte. On pourra faire un script pour le hook s'il n'est pas une commande courte et simple. | ||
+ | |||
+ | Tout est prêt pour générer le certificat :) | ||
+ | |||
+ | Il suffit de placer une commande du type : | ||
+ | |||
+ | certbot certonly --cert-name mon.certificat.tld --rsa-key-size 4096 \ | ||
+ | --email admin@federez.net --webroot -w / | ||
+ | |||
+ | |||
+ | La première fois on vous demandera de dire oui aux TOSS. | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Rappel: Pour les tests il faut apposer temporairement '' | ||
+ | </ | ||
+ | |||
+ | Si on veut étendre un certificat existant on peut placer un '' | ||
+ | |||
+ | Pour avoir une idée de quels certificats sont existants un '' | ||
==== Vue d' | ==== Vue d' | ||
Ligne 32: | Ligne 82: | ||
* Un **script de monitoring des certificats SSL** est en place pour vérifier la durée de validité restante et alerter si le certificat s' | * Un **script de monitoring des certificats SSL** est en place pour vérifier la durée de validité restante et alerter si le certificat s' | ||
- | <WRAP center round alert> | + | <WRAP center round info > |
- | Pour le moment, **il faut absolument éviter de retirer un sous-domaine de la liste des domaines** après que le certificat ait été déjà émis. Lors du renouvellement une nouvelle " | + | Précédemment, il fallait |
- | Ceci est du au bug https:// | + | Ceci était |
- | Il est cependant possible d' | + | Il était |
- | Pour retirer un sous domaine, contactez Zertrin auparavant pour coordonner | + | Désormais, il suffit que l'option '' |
- | </ | + | |
- | + | ||
- | + | ||
- | <WRAP center round important> | + | |
- | Quand vous ajoutez des sous-domaines dans le certificat, pensez bien à mettre à jour le script de monitoring des certificats SSL : cf [[admin: | + | |
</ | </ | ||
Ligne 56: | Ligne 101: | ||
< | < | ||
- | apt-get install | + | apt-get install certbot |
</ | </ | ||
Ligne 63: | Ligne 108: | ||
< | < | ||
sudo dpkg-divert --add --rename --divert / | sudo dpkg-divert --add --rename --divert / | ||
+ | </ | ||
+ | |||
+ | On désactive aussi le service et le timer systemd qui viennent en doublon du fichier de cron : | ||
+ | < | ||
+ | systemctl stop certbot.service certbot.timer | ||
+ | systemctl disable certbot.service certbot.timer | ||
+ | systemctl mask certbot.service certbot.timer | ||
</ | </ | ||
Ligne 100: | Ligne 152: | ||
=== Configuration et vérification que les conf apaches sont bien compatibles avec l'auth webroot === | === Configuration et vérification que les conf apaches sont bien compatibles avec l'auth webroot === | ||
- | <WRAP center round important> | + | Avec le plugin d'auth webroot, lors de l' |
- | La première partie | + | |
- | </WRAP> | + | Premièrement on crée / |
+ | |||
+ | < | ||
+ | mkdir -p / | ||
+ | </code> | ||
+ | Pour éviter de définir pour chaque site un bloc de configuration pour HTTP afin de rediriger les navigateurs vers la version HTTPS de chaque site, on peut créer un fichier '''/ | ||
- | Pour éviter de définir pour chaque site un bloc de configuration pour HTTP afin de rediriger les navigateurs vers la version HTTPS de chaque site, on peut créer un fichier '''/ | + | <file apache / |
- | <file apache / | + | |
< | < | ||
ServerAdmin webmaster@federez.net | ServerAdmin webmaster@federez.net | ||
Ligne 113: | Ligne 169: | ||
RewriteEngine On | RewriteEngine On | ||
RewriteCond %{HTTPS} !=on | RewriteCond %{HTTPS} !=on | ||
+ | | ||
# Pas de redirection pour les requêtes de Let's Encrypt | # Pas de redirection pour les requêtes de Let's Encrypt | ||
RewriteCond %{REQUEST_URI} !^/ | RewriteCond %{REQUEST_URI} !^/ | ||
+ | | ||
# Redirection vers un domaine de federez.net | # Redirection vers un domaine de federez.net | ||
RewriteCond %{HTTP_HOST} ^([^.]+\.)? | RewriteCond %{HTTP_HOST} ^([^.]+\.)? | ||
Ligne 122: | Ligne 180: | ||
ProxyPass / | ProxyPass / | ||
</ | </ | ||
+ | | ||
< | < | ||
Alias / | Alias / | ||
Ligne 129: | Ligne 188: | ||
AllowOverride None | AllowOverride None | ||
Require all granted | Require all granted | ||
+ | # Utilité à confirmer : | ||
+ | # Options FollowSymLinks | ||
+ | # AddDefaultCharset off | ||
</ | </ | ||
Ligne 138: | Ligne 200: | ||
On s' | On s' | ||
+ | |||
a2enmod rewrite | a2enmod rewrite | ||
- | Ensuite, il faut l' | ||
- | a2ensite 000-no-tls | ||
- | puis s' | ||
- | service apache | ||
+ | Ensuite, il faut activer la configuration du site qui gère HTTP avec : | ||
+ | a2ensite 000-no-tls | ||
- | Avec le plugin d'auth webroot, lors de l' | + | Enfin, on peut supprimer tous les VHOST HTTP pour ne laisser que les blocs qui concernent HTTPS dans les fichiers |
- | Premièrement on crée / | + | Notamment, s'il n'est pas utilisé pour autre chose, il faut désactiver la config '' |
- | < | + | Puis on recharge la configuration d' |
- | mkdir -p / | + | |
- | </ | + | |
- | Pour que tous les sous-domaines servis par apache soient en mesure de servir les fichiers dans ce dossier on crée une configuration globale pour apache avec un Alias qui se charge de servir le bon dossier : | + | service |
- | + | ||
- | <file apache /etc/apache2/ | + | |
- | < | + | |
- | ProxyPass / | + | |
- | </ | + | |
- | < | + | |
- | Alias / | + | |
- | </ | + | |
- | < | + | |
- | Options FollowSymLinks | + | |
- | AllowOverride None | + | |
- | Require all granted | + | |
- | AddDefaultCharset off | + | |
- | </ | + | |
- | </ | + | |
- | + | ||
- | On active la conf via '' | + | |
- | + | ||
- | Enfin, il faut s' | + | |
- | + | ||
- | Solution : remplacer '' | + | |
- | + | ||
- | Méthode bourrin (mais fonctionnelle) : dans sites-available un bon coup de sed fait passer la pilule | + | |
- | + | ||
- | < | + | |
- | sed -i ' | + | |
- | </ | + | |
Astuce pour vérifier que tout est OK avant de tester avec Letsencrypt : | Astuce pour vérifier que tout est OK avant de tester avec Letsencrypt : | ||
Ligne 187: | Ligne 219: | ||
- Créer un fichier de test : '' | - Créer un fichier de test : '' | ||
- Depuis une autre machine, utiliser le oneliner suivant pour tester l' | - Depuis une autre machine, utiliser le oneliner suivant pour tester l' | ||
+ | - s' | ||
< | < | ||
Ligne 206: | Ligne 239: | ||
# ---------------------------------- | # ---------------------------------- | ||
- | # EXAMPLE POUR QUIGON.FEDEREZ.NET | + | # EXAMPLE POUR EXMAPLE.FEDEREZ.NET |
# À ADAPTER EN FONCTION DU SERVEUR | # À ADAPTER EN FONCTION DU SERVEUR | ||
# ---------------------------------- | # ---------------------------------- | ||
Ligne 215: | Ligne 248: | ||
PATH=/ | PATH=/ | ||
- | FULLCHAINPATH="/ | + | # remplacer avec le bon chemin, cf le --cert-name ci-dessous |
+ | FULLCHAINPATH="/ | ||
if [[ -e " | if [[ -e " | ||
Ligne 226: | Ligne 260: | ||
echo " | echo " | ||
- | # Pour le moment, il faut absolument éviter de retirer | + | # Bien s' |
- | # après | + | # De préférence mettre le meme nom que le premier domaine demandé, qui est de préférence |
- | # certificats sera créée ne se trouvant pas dans le dossier de destination attendu par les services. | + | |
- | # | + | |
- | # Ceci est du au bug https:// | + | |
- | # | + | |
- | # Il est cependant possible d' | + | |
- | / | + | / |
- | -d quigon.federez.net \ | + | --cert-name EXMAPLE.federez.net |
+ | -d EXMAPLE.federez.net \ | ||
-d ldap-ro.federez.net \ | -d ldap-ro.federez.net \ | ||
-d wiki-backup.federez.net \ | -d wiki-backup.federez.net \ | ||
-d git.federez.net \ | -d git.federez.net \ | ||
- | -t | + | --text |
NEWHASH_CERT=$(sha1sum $FULLCHAINPATH | cut -d" " -f 1) | NEWHASH_CERT=$(sha1sum $FULLCHAINPATH | cut -d" " -f 1) | ||
Ligne 265: | Ligne 295: | ||
echo " | echo " | ||
/ | / | ||
- | / | + | |
# / | # / | ||
# / | # / | ||
Ligne 273: | Ligne 303: | ||
=== Tester la génération du certificat === | === Tester la génération du certificat === | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Rappel: Pour les tests penser à apposer temporairement '' | ||
+ | </ | ||
< | < | ||
Ligne 366: | Ligne 400: | ||
TLSProtocol | TLSProtocol | ||
TLSRequired | TLSRequired | ||
+ | </ | ||
+ | |||
+ | === Prosody === | ||
+ | |||
+ | Dans ''/ | ||
+ | |||
+ | < | ||
+ | ssl = { | ||
+ | key = "/ | ||
+ | certificate = "/ | ||
+ | } | ||
</ | </ | ||
admin/services/letsencrypt.1472116813.txt.gz · Dernière modification : 2016/08/25 11:20 de david