Poster une réponse à un sujet: Let's Encrypt, comment on fait sous LInux, comment on fait sous Windows, allez hop on partage :)
Attention, ce sujet est un sujet ancien (2373 jours sans réponse)
Jean-Christophe
Pour ce qui est de la validation par DNS, quand j'ai commencé à m'en servir il y a plus d'un an, c'était déjà possible
Mais les wildcard, c'est vraiment chouette pour les tests "grandeur nature".
Mais les wildcard, c'est vraiment chouette pour les tests "grandeur nature".
antp
Début mars, évidemment, c'est fin février que je me suis "amusé" à faire marcher le truc avec mes nombreux sous-domaines Si j'avais su j'aurais attendu une semaine...
zion
Ah mais c'est une excellente nouvelle ça mon bon monsieur!
max
C'est assez récent, début mars:
wildcard et validation par DNS
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
wildcard et validation par DNS
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
zion
Tiens, ils acceptent les wildcards maintenant?
antp
Bah oui on utilise aussi certbot (mais sous Fedora, donc "yum install certbot") mais avec lighttpd c'est moins automatique qu'avec Apache ou Ngix, d'où les quelques commandes
max
Merci pour le feedback.
Sinon, apt-get install certbot et roulez jeunesse
Je me suis amusé à créer des certificats wildcard (*.trololo.be) avec la certification via DNS. Très efficace (et relativement simple).
Tips: il faut créer un certificat multidomaine avec trololo.be et *.trololo.be si vous voulez utiliser ce certificat pour le domaine seul. Autre tuyau: wc.sdb.trololo.be ne sera pas validé par *.trololo.be. Le certificat n'est valide que pour un premier niveau. (A vous de créer *.sdb.trololo.be si vous avez plusieurs toilettes dans votre salle de bain).
Sinon, apt-get install certbot et roulez jeunesse
Je me suis amusé à créer des certificats wildcard (*.trololo.be) avec la certification via DNS. Très efficace (et relativement simple).
Tips: il faut créer un certificat multidomaine avec trololo.be et *.trololo.be si vous voulez utiliser ce certificat pour le domaine seul. Autre tuyau: wc.sdb.trololo.be ne sera pas validé par *.trololo.be. Le certificat n'est valide que pour un premier niveau. (A vous de créer *.sdb.trololo.be si vous avez plusieurs toilettes dans votre salle de bain).
antp
Premier renouvellement auto d'un des certifs de mon serveur, ça a marché \o/
J'en profite pour upper ce topic : plutôt que de faire une vérif de renouvellement toutes les semaines avec le restart du serveur web d'office comme un bourrin ( ), je fais la vérif tous les jours (comme c'est ce qu'ils conseillent de faire...) avec restart du serveur seulement s'il y a eu une modif.
Ça donne ceci dans le cron.daily:
et ceci dans le script "update-certif.sh":
(dans mon cas j'avais gardé la clé combinée pour lighttpd dans le même dossier que les clés d'origine, comme j'en avais aussi besoin pour un autre truc)
edit: ah et pour s'il y en a qui comme moi ont des sous-domaines ou plusieurs domaines qu'ils veulent lier au même certif, il faut que le dossier créé par certbot dans .well-known à la racine de tous les sites pointe vers le même dossier, donc j'ai fait ceci :
et je lance ensuite ceci pour créer les certifs :
J'en profite pour upper ce topic : plutôt que de faire une vérif de renouvellement toutes les semaines avec le restart du serveur web d'office comme un bourrin ( ), je fais la vérif tous les jours (comme c'est ce qu'ils conseillent de faire...) avec restart du serveur seulement s'il y a eu une modif.
Ça donne ceci dans le cron.daily:
certbot renew --renew-hook "/usr/bin/update-certif.sh" > /var/log/certbot-renew.log
et ceci dans le script "update-certif.sh":
cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/combined.pem
cat /etc/letsencrypt/live/domaine2/privkey.pem /etc/letsencrypt/live/domaine2/cert.pem > /etc/letsencrypt/live/domaine2/combined.pem
systemctl restart lighttpd
cat /etc/letsencrypt/live/domaine2/privkey.pem /etc/letsencrypt/live/domaine2/cert.pem > /etc/letsencrypt/live/domaine2/combined.pem
systemctl restart lighttpd
(dans mon cas j'avais gardé la clé combinée pour lighttpd dans le même dossier que les clés d'origine, comme j'en avais aussi besoin pour un autre truc)
edit: ah et pour s'il y en a qui comme moi ont des sous-domaines ou plusieurs domaines qu'ils veulent lier au même certif, il faut que le dossier créé par certbot dans .well-known à la racine de tous les sites pointe vers le même dossier, donc j'ai fait ceci :
ln -s /var/www/certbot/.well-known /var/www/domaine1/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine2/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine3/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine2/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine3/.well-known
et je lance ensuite ceci pour créer les certifs :
certbot certonly --cert-name nom-de-mon-certif --webroot -w /var/www/certbot -d domaine1,domaine2,domaine3
Coyote
Et le petit tuto que j'avais suivi à l'époque pour un VPS chez OVH ==> Lien
zion
(Mais il est possible que sur certains liens il redirige vers la partie https://www classique).