Re: Apache2 - Certbot renew - The client lacks sufficient authorization :: Invalid response from
Le 25/02/2019 à 12:50, Daniel Caillibaud a écrit :
> Le 23/02/19 à 16:49, Yann Serre <debian-user-french@eml.ovh> a écrit :
>> Dans mes souvenirs :
>> - mettre une config apache correcte pour joindre la racine publique du
>> site en http
>> - vérifier les autorisations d'écriture à la racine publique du site
>
> Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se
> porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
> d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
> fait tourner un éventuel php/cgi/xxx)
>
>> - créer le certificat (qui va générer .well-known à la racine)
>> - modifier la config apache pour forcer la racine publique du site en
>> https
>
> sauf pour .well-known !
>
> Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
> xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
> fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
> s) pour vérifier qu'on est bien gestionnaire du domaine
>
> Il faut donc configurer le serveur web pour qu'il aille
> chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
> obligé de mettre ça dans le docroot du site concerné !
>
> Par ex
> - un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
> où), qui peut servir pour tous les domaines
Le dossier ".well-known" est actuellement utilisé par Let's Encrypt,
mais d'autres usages vont arriver.
Une RFC est sortie sur ce dossier :
https://tools.ietf.org/html/rfc5785
Certain l'utilise déjà pour y stocker les favicons, robots.txt, sitemap...
https://github.com/nhoizey/nicolas-hoizey.com/tree/master/.well-known
https://github.com/nhoizey/nicolas-hoizey.com/blob/master/.htaccess#L724-L748
https://github.com/fvsch/scripts-and-snippets/blob/master/apache/rewrite-well-known.conf
Si vous voulez utiliser un dossier commun pour tous les sites, il faut
que l'alias soit sur l'adresse "/.well-known/acme-challenge".
--
==============================================
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
===========================Debian=GNU/Linux===
Reply to: