admin:services:letsencrypt
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:letsencrypt [2020/04/27 15:47] – ajout de --cert-name zertrin | admin:services:letsencrypt [2020/06/17 18:23] (Version actuelle) – zertrin | ||
---|---|---|---|
Ligne 2: | Ligne 2: | ||
Cette page décrit la mise en place des certificats signés par [[https:// | Cette page décrit la mise en place des certificats signés par [[https:// | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Quand vous créez un nouveau certificat ou si vous ajoutez des sous-domaines dans un certificat existant, pensez bien à mettre à jour le script de monitoring des certificats SSL : cf [[admin: | ||
+ | </ | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Pour les tests il faut apposer temporairement '' | ||
+ | </ | ||
===== Mise en place de Let's Encrypt sur les serveurs FedeRez ===== | ===== Mise en place de Let's Encrypt sur les serveurs FedeRez ===== | ||
Ligne 29: | Ligne 37: | ||
| | ||
- | Nous choisirons ici le deuxième méthode | + | Nous choisirons ici la deuxième méthode. |
Pour un nginx la configuration à placer dans le vhost est la suivante : | Pour un nginx la configuration à placer dans le vhost est la suivante : | ||
Ligne 51: | Ligne 59: | ||
- | La première fois on vous demandera de dire oui aux TOSS. Pour les test il faut apposer --dry-run. Il est obligatoire de faire des tests jusqu' | + | La première fois on vous demandera de dire oui aux TOSS. |
- | Si on veut étendre un certificat existant on peut placer un --extend et il faut mettre le même nom. | + | <WRAP center round important> |
+ | Rappel: Pour les tests il faut apposer temporairement '' | ||
+ | </ | ||
- | Pour avoir une idée de quels certificats sont existants | + | Si on veut étendre un certificat existant on peut placer |
+ | Pour avoir une idée de quels certificats sont existants un '' | ||
==== Vue d' | ==== Vue d' | ||
Ligne 79: | Ligne 90: | ||
Désormais, il suffit que l' | Désormais, il suffit que l' | ||
- | </ | ||
- | |||
- | |||
- | <WRAP center round important> | ||
- | Quand vous ajoutez des sous-domaines dans le certificat, pensez bien à mettre à jour le script de monitoring des certificats SSL : cf [[admin: | ||
</ | </ | ||
Ligne 153: | Ligne 159: | ||
mkdir -p / | mkdir -p / | ||
</ | </ | ||
- | |||
Pour éviter de définir pour chaque site un bloc de configuration pour HTTP afin de rediriger les navigateurs vers la version HTTPS de chaque site, on peut créer un fichier '''/ | Pour éviter de définir pour chaque site un bloc de configuration pour HTTP afin de rediriger les navigateurs vers la version HTTPS de chaque site, on peut créer un fichier '''/ | ||
+ | |||
<file apache / | <file apache / | ||
< | < | ||
Ligne 194: | Ligne 200: | ||
On s' | On s' | ||
+ | |||
a2enmod rewrite | a2enmod rewrite | ||
+ | |||
Ensuite, il faut activer la configuration du site qui gère HTTP avec : | Ensuite, il faut activer la configuration du site qui gère HTTP avec : | ||
+ | |||
a2ensite 000-no-tls | a2ensite 000-no-tls | ||
- | Enfin, on peut supprimer tous les VHOST HTTP pour ne laisser que les blocs qui concernent HTTPS dans les fichiers de configuration d' | + | Enfin, on peut supprimer tous les VHOST HTTP pour ne laisser que les blocs qui concernent HTTPS dans les fichiers de configuration d' |
+ | |||
+ | Notamment, s'il n'est pas utilisé pour autre chose, il faut désactiver la config '' | ||
+ | |||
+ | Puis on recharge la configuration d' | ||
service apache2 reload | service apache2 reload | ||
Ligne 205: | Ligne 219: | ||
- Créer un fichier de test : '' | - Créer un fichier de test : '' | ||
- Depuis une autre machine, utiliser le oneliner suivant pour tester l' | - Depuis une autre machine, utiliser le oneliner suivant pour tester l' | ||
+ | - s' | ||
< | < | ||
Ligne 224: | Ligne 239: | ||
# ---------------------------------- | # ---------------------------------- | ||
- | # EXAMPLE POUR QUIGON.FEDEREZ.NET | + | # EXAMPLE POUR EXMAPLE.FEDEREZ.NET |
# À ADAPTER EN FONCTION DU SERVEUR | # À ADAPTER EN FONCTION DU SERVEUR | ||
# ---------------------------------- | # ---------------------------------- | ||
Ligne 233: | Ligne 248: | ||
PATH=/ | PATH=/ | ||
- | FULLCHAINPATH="/ | + | # remplacer avec le bon chemin, cf le --cert-name ci-dessous |
+ | FULLCHAINPATH="/ | ||
if [[ -e " | if [[ -e " | ||
Ligne 244: | Ligne 260: | ||
echo " | echo " | ||
- | # Pour le moment, il faut absolument éviter de retirer | + | # Bien s' |
- | # après | + | # De préférence mettre le meme nom que le premier domaine demandé, qui est de préférence |
- | # certificats sera créée ne se trouvant pas dans le dossier de destination attendu par les services. | + | |
- | # | + | |
- | # Ceci est du au bug https:// | + | |
- | # | + | |
- | # Il est cependant possible d' | + | |
/ | / | ||
- | --cert-name | + | --cert-name |
- | -d quigon.federez.net \ | + | -d EXMAPLE.federez.net \ |
-d ldap-ro.federez.net \ | -d ldap-ro.federez.net \ | ||
-d wiki-backup.federez.net \ | -d wiki-backup.federez.net \ | ||
Ligne 284: | Ligne 295: | ||
echo " | echo " | ||
/ | / | ||
- | / | + | |
# / | # / | ||
# / | # / | ||
Ligne 292: | Ligne 303: | ||
=== Tester la génération du certificat === | === Tester la génération du certificat === | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Rappel: Pour les tests penser à apposer temporairement '' | ||
+ | </ | ||
< | < |
admin/services/letsencrypt.1587995224.txt.gz · Dernière modification : 2020/04/27 15:47 de zertrin