Outils pour utilisateurs

Outils du site


letsencrypt

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

letsencrypt [2017/02/16 21:41] (Version actuelle)
Ligne 1: Ligne 1:
 +{{tag> securite ssl }}
 +
 +===== LetEncrypt =====
 +
 +==== Biblio / sources ====
 +https://​letsencrypt.readthedocs.org/​en/​latest/​using.html
 +
 +==== Générer un certificat: v0 foobar ====
 +
 +
 +<​code>​
 +./​letsencrypt-auto certonly --webroot --webroot-path /​var/​www/​thomasetsophie.fr/​ -d thomasetsophie.fr -d www.thomasetsophie.fr
 +</​code>​
 +
 +Le certificat est valable 3 mois.
 +
 +-d permet de spécifier le domaine pour lequel on génère le certificat.
 +
 +--webroot-path est le docroot associé au domaine. on peut en spécifier plusieurs, il doit être accessible car le script va créer des fichiers dans le répertoire et tenter d'y accéder via http, à des fins de vérification
 +
 +</​code>​
 +Les certificats seront générés dans // /​etc/​letsencrypt/​live/​DOMAIN //
 +
 +Configurer le site en rajoutant dans la conf apache les directives suivantes:
 +<​code>​
 +SSLCertificateFile ​             /​etc/​letsencrypt/​live/​DOMAIN/​fullchain.pem
 +SSLCertificateKeyFile ​          /​etc/​letsencrypt/​live/​DOMAIN/​privkey.pem
 +SSLCertificateChainFile ​        /​etc/​letsencrypt/​live/​DOMAIN/​fullchain.pem
 +</​code>​
 +
 +ça marche pas sur RH6, la version de python n'est pas supportée
 +
 +==== Renouveller un certicat ====
 +Les certificats ont une durée de validité de **3 mois**
 +
 +Il suffit de lancer la commande
 +<​code>​
 +lestencrypt-auto renew
 +</​code>​
 +
 +Attention, pour l'​instant le nombre de certificats renouvellables est limité à 5
 +par semaine.
 +
 +On est sensé recevoir un mail avant l'​arrivée à expiration d'un certificat.
 +
 +==== Remarques ====
 +
 +Si on relance la commande de génération du certifcat, une interface ncurses va
 +vous proposer de:
 +  - le remplacer
 +  - ne rien faire
 +  - le renouveller.
 +
 +
 +==== Coté système ====
 +
 +Pour que des commandes du style 
 +<​code>​
 +openssl s_client ​  ​-starttls smtp -connect courrier.opendoor.fr:​587
 +</​code>​
 +fonctionne sans erreur, il faut rajouter le certificat intermédiare de letsencrypt dans le fichier // /​etc/​pki/​tls/​certs/​ca-bundle.crt //
 +
 +# vim: set filetype=dokuwiki:​
  
letsencrypt.txt · Dernière modification: 2017/02/16 21:41 (modification externe)