Re: Apache2 - Certbot renew - The client lacks sufficient authorization :: Invalid response from
Le 23/02/19 à 16:49, Yann Serre <debian-user-french@eml.ovh> a écrit :
> Dans mes souvenirs :
> - mettre une config apache correcte pour joindre la racine publique du
> site en http
> - vérifier les autorisations d'écriture à la racine publique du site
Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se
porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
fait tourner un éventuel php/cgi/xxx)
> - créer le certificat (qui va générer .well-known à la racine)
> - modifier la config apache pour forcer la racine publique du site en
> https
sauf pour .well-known !
Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
s) pour vérifier qu'on est bien gestionnaire du domaine
Il faut donc configurer le serveur web pour qu'il aille
chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
obligé de mettre ça dans le docroot du site concerné !
Par ex
- un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
où), qui peut servir pour tous les domaines
- dans la conf du serveur web, créer un alias pour que /.well-known pointe
sur /var/www/certbot/ (ça peut être qq lignes de configuration génériques
à tous les domaines)
- ajouter éventuellement une redirection http => https pour toutes les urls
autres que /.well-known (idem)
- appeler certbot en cli en lui précisant `--webroot -w /var/www/certbot`
--
Daniel
Quand les événements nous dépassent,
feignons d'en être les organisateurs.
Pierre Desproges
Reply to: