Outils pour utilisateurs

Outils du site


letsencrypt

LetEncrypt

Biblio / sources

Générer un certificat: v0 foobar

./letsencrypt-auto certonly --webroot --webroot-path /var/www/thomasetsophie.fr/ -d thomasetsophie.fr -d www.thomasetsophie.fr

Le certificat est valable 3 mois.

-d permet de spécifier le domaine pour lequel on génère le certificat.

–webroot-path est le docroot associé au domaine. on peut en spécifier plusieurs, il doit être accessible car le script va créer des fichiers dans le répertoire et tenter d'y accéder via http, à des fins de vérification

</code> Les certificats seront générés dans /etc/letsencrypt/live/DOMAIN

Configurer le site en rajoutant dans la conf apache les directives suivantes:

SSLCertificateFile              /etc/letsencrypt/live/DOMAIN/fullchain.pem
SSLCertificateKeyFile           /etc/letsencrypt/live/DOMAIN/privkey.pem
SSLCertificateChainFile         /etc/letsencrypt/live/DOMAIN/fullchain.pem

ça marche pas sur RH6, la version de python n'est pas supportée

Renouveller un certicat

Les certificats ont une durée de validité de 3 mois

Il suffit de lancer la commande

lestencrypt-auto renew

Attention, pour l'instant le nombre de certificats renouvellables est limité à 5 par semaine.

On est sensé recevoir un mail avant l'arrivée à expiration d'un certificat.

Remarques

Si on relance la commande de génération du certifcat, une interface ncurses va vous proposer de:

  1. le remplacer
  2. ne rien faire
  3. le renouveller.

Coté système

Pour que des commandes du style

openssl s_client   -starttls smtp -connect courrier.opendoor.fr:587

fonctionne sans erreur, il faut rajouter le certificat intermédiare de letsencrypt dans le fichier /etc/pki/tls/certs/ca-bundle.crt

# vim: set filetype=dokuwiki:

letsencrypt.txt · Dernière modification: 2017/02/16 21:41 (modification externe)