|
Prochaine révision
|
Révision précédente
|
tuto:linux_divers:letsencrypt.sh_sur_centos [06/06/2016 16:27]
dani créée |
tuto:linux_divers:letsencrypt.sh_sur_centos [27/01/2017 15:25] (Version actuelle)
heuzef |
| Le principe de fonctionnement est assez simple. Un client génère en local une pair clé privée/publique, en crée une CSR, et fait une requête aux serveurs de Let's Encrypt pour faire signer cette CSR (notez que la clé privée n'est pas envoyé vers Let's Encrypt, seule la partie publique l'est). | Le principe de fonctionnement est assez simple. Un client génère en local une pair clé privée/publique, en crée une CSR, et fait une requête aux serveurs de Let's Encrypt pour faire signer cette CSR (notez que la clé privée n'est pas envoyé vers Let's Encrypt, seule la partie publique l'est). |
| |
| Let's Encrypt va ensuite demander au client de résoudre des challenges pour prouver qu'il est bien en contrôle du/des domaines pour lesquels le certificat est valide. Il existe plusieurs type de challenges différents, le plus simple est la méthode par http. Avec cette méthode, le serveur va demander de mettre à disposition un fichier avec un contenu particulier, sur une adresse précise. Par exemple, le client demande un certificat pour ***www.domaine.fr** | Let's Encrypt va ensuite demander au client de résoudre des challenges pour prouver qu'il est bien en contrôle du/des domaines pour lesquels le certificat est valide. Il existe plusieurs type de challenges différents, le plus simple est la méthode par http. Avec cette méthode, le serveur va demander de mettre à disposition un fichier avec un contenu particulier, sur une adresse précise. Par exemple, le client demande un certificat pour **www.domaine.fr** |
| |
| * Le serveur renvoi au client: "Met à disposition un fichier sur l'adresse http://www.domaine.fr/.well-known/acme-challenge/z_KYfE4e3HkMuubbWIXRFoCxGc78BDUuiePRINca6ZA un fichier contenant la chaîne ECDifanV40XTqiRTgOHbxu-eeMBM8ee6lnNvL2nIopw" | * Le serveur renvoi au client: "Met à disposition un fichier sur l'adresse http://www.domaine.fr/.well-known/acme-challenge/z_KYfE4e3HkMuubbWIXRFoCxGc78BDUuiePRINca6ZA un fichier contenant la chaîne ECDifanV40XTqiRTgOHbxu-eeMBM8ee6lnNvL2nIopw" |
| |
| * Éditer /etc/letsencrypt.s/domains.txt pour indiquer les domaines pour lesquels créer un certificat | * Éditer /etc/letsencrypt.s/domains.txt pour indiquer les domaines pour lesquels créer un certificat |
| * Mettre en place les scripts dans /etc/letsencypt.sh/hooks_deploy_cert.d/ | * Mettre en place les scripts dans /etc/letsencrypt.sh/hooks_deploy_cert.d/ |
| * demander manuellement le certificat la première fois | * demander manuellement le certificat la première fois |
| <code bash> | <code bash> |
| * Une fois le certificat obtenu, il faut ajuster la configuration de nos démons pour utiliser les nouveaux certificats (/var/lib/letsencrypt.sh/certificates/cert/<nom de domaine>/) | * Une fois le certificat obtenu, il faut ajuster la configuration de nos démons pour utiliser les nouveaux certificats (/var/lib/letsencrypt.sh/certificates/cert/<nom de domaine>/) |
| * Quand tout est fonctionnel, on a plus qu'à dé-commenter les lignes dans /etc/cron.daily/letsencrypt.sh pour automatiser le renouvellement (et la révocation des anciens certificats) | * Quand tout est fonctionnel, on a plus qu'à dé-commenter les lignes dans /etc/cron.daily/letsencrypt.sh pour automatiser le renouvellement (et la révocation des anciens certificats) |
| | |
| | <note important>Les URL des challenges ACME doivent être accessibles librement (pas de restriction d'IP source, ni d'authentification), sans quoi les serveurs de Let's Encrypt ne pourront pas faire la vérification, et refuseront de signer le certificat</note> |
| | <note important>le fichier de configuration **/etc/httpd/conf.d/letsencrypt.sh.conf** rend les challenges accessibles pour le vhost par défaut. Il faudra s'assurer que si d'autres vhosts sont utilisés, les mêmes URI soient accessibles</note> |