[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Apache2 - Certbot renew - The client lacks sufficient authorization :: Invalid response from

Le 25/02/2019 à 12:50, Daniel Caillibaud a écrit :
> Le 23/02/19 à 16:49, Yann Serre <debian-user-french@eml.ovh> a écrit :
>> Dans mes souvenirs :
>> - mettre une config apache correcte pour joindre la racine publique du 
>> site en http
>> - vérifier les autorisations d'écriture à la racine publique du site
> 
> Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se
> porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
> d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
> fait tourner un éventuel php/cgi/xxx)
> 
>> - créer le certificat (qui va générer .well-known à la racine)
>> - modifier la config apache pour forcer la racine publique du site en
>> https
> 
> sauf pour .well-known !
> 
> Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
> xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
> fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
> s) pour vérifier qu'on est bien gestionnaire du domaine
> 
> Il faut donc configurer le serveur web pour qu'il aille
> chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
> obligé de mettre ça dans le docroot du site concerné !
> 
> Par ex
> - un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
>   où), qui peut servir pour tous les domaines

Le dossier ".well-known" est actuellement utilisé par Let's Encrypt,
mais d'autres usages vont arriver.

Une RFC est sortie sur ce dossier :
  https://tools.ietf.org/html/rfc5785

Certain l'utilise déjà pour y stocker les favicons, robots.txt, sitemap...

https://github.com/nhoizey/nicolas-hoizey.com/tree/master/.well-known

https://github.com/nhoizey/nicolas-hoizey.com/blob/master/.htaccess#L724-L748

https://github.com/fvsch/scripts-and-snippets/blob/master/apache/rewrite-well-known.conf

Si vous voulez utiliser un dossier commun pour tous les sites, il faut
que l'alias soit sur l'adresse "/.well-known/acme-challenge".




-- 
==============================================
|              FRÉDÉRIC MASSOT               |
|     http://www.juliana-multimedia.com      |
|   mailto:frederic@juliana-multimedia.com   |
| +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
===========================Debian=GNU/Linux===
Reply to: