Se connecter
Inscription
Mot de passe perdu
Poster une réponse à un sujet: Let's Encrypt, comment on fait sous LInux, comment on fait sous Windows, allez hop on partage :)
Attention, ce sujet est un sujet ancien (2367 jours sans réponse)
Pour ce qui est de la validation par DNS, quand j'ai commencé à m'en servir il y a plus d'un an, c'était déjà possible 
Mais les wildcard, c'est vraiment chouette pour les tests "grandeur nature".
Mais les wildcard, c'est vraiment chouette pour les tests "grandeur nature".
Début mars, évidemment, c'est fin février que je me suis "amusé" à faire marcher le truc avec mes nombreux sous-domaines 
Si j'avais su j'aurais attendu une semaine...
Si j'avais su j'aurais attendu une semaine...Ah mais c'est une excellente nouvelle ça mon bon monsieur! 
Tiens, ils acceptent les wildcards maintenant? 
Merci pour le feedback.
Sinon, apt-get install certbot et roulez jeunesse
Je me suis amusé à créer des certificats wildcard (*.trololo.be) avec la certification via DNS. Très efficace (et relativement simple).
Tips: il faut créer un certificat multidomaine avec trololo.be et *.trololo.be si vous voulez utiliser ce certificat pour le domaine seul. Autre tuyau: wc.sdb.trololo.be ne sera pas validé par *.trololo.be. Le certificat n'est valide que pour un premier niveau. (A vous de créer *.sdb.trololo.be si vous avez plusieurs toilettes dans votre salle de bain).
Sinon, apt-get install certbot et roulez jeunesse
Je me suis amusé à créer des certificats wildcard (*.trololo.be) avec la certification via DNS. Très efficace (et relativement simple).
Tips: il faut créer un certificat multidomaine avec trololo.be et *.trololo.be si vous voulez utiliser ce certificat pour le domaine seul. Autre tuyau: wc.sdb.trololo.be ne sera pas validé par *.trololo.be. Le certificat n'est valide que pour un premier niveau. (A vous de créer *.sdb.trololo.be si vous avez plusieurs toilettes dans votre salle de bain).
Premier renouvellement auto d'un des certifs de mon serveur, ça a marché \o/
J'en profite pour upper ce topic : plutôt que de faire une vérif de renouvellement toutes les semaines avec le restart du serveur web d'office comme un bourrin (
), je fais la vérif tous les jours (comme c'est ce qu'ils conseillent de faire...) avec restart du serveur seulement s'il y a eu une modif.
Ça donne ceci dans le cron.daily:
et ceci dans le script "update-certif.sh":
(dans mon cas j'avais gardé la clé combinée pour lighttpd dans le même dossier que les clés d'origine, comme j'en avais aussi besoin pour un autre truc)
edit: ah et pour s'il y en a qui comme moi ont des sous-domaines ou plusieurs domaines qu'ils veulent lier au même certif, il faut que le dossier créé par certbot dans .well-known à la racine de tous les sites pointe vers le même dossier, donc j'ai fait ceci :
et je lance ensuite ceci pour créer les certifs :
J'en profite pour upper ce topic : plutôt que de faire une vérif de renouvellement toutes les semaines avec le restart du serveur web d'office comme un bourrin (
), je fais la vérif tous les jours (comme c'est ce qu'ils conseillent de faire...) avec restart du serveur seulement s'il y a eu une modif.Ça donne ceci dans le cron.daily:
certbot renew --renew-hook "/usr/bin/update-certif.sh" > /var/log/certbot-renew.log
et ceci dans le script "update-certif.sh":
cat /etc/letsencrypt/live/domaine1/privkey.pem /etc/letsencrypt/live/domaine1/cert.pem > /etc/letsencrypt/live/domaine1/combined.pem
cat /etc/letsencrypt/live/domaine2/privkey.pem /etc/letsencrypt/live/domaine2/cert.pem > /etc/letsencrypt/live/domaine2/combined.pem
systemctl restart lighttpd
cat /etc/letsencrypt/live/domaine2/privkey.pem /etc/letsencrypt/live/domaine2/cert.pem > /etc/letsencrypt/live/domaine2/combined.pem
systemctl restart lighttpd
(dans mon cas j'avais gardé la clé combinée pour lighttpd dans le même dossier que les clés d'origine, comme j'en avais aussi besoin pour un autre truc)
edit: ah et pour s'il y en a qui comme moi ont des sous-domaines ou plusieurs domaines qu'ils veulent lier au même certif, il faut que le dossier créé par certbot dans .well-known à la racine de tous les sites pointe vers le même dossier, donc j'ai fait ceci :
ln -s /var/www/certbot/.well-known /var/www/domaine1/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine2/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine3/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine2/.well-known
ln -s /var/www/certbot/.well-known /var/www/domaine3/.well-known
et je lance ensuite ceci pour créer les certifs :
certbot certonly --cert-name nom-de-mon-certif --webroot -w /var/www/certbot -d domaine1,domaine2,domaine3
