Re: Conseils sur l'utilisation de certificats Letsencrypt
Le 18591ième jour après Epoch,
Olivier écrivait:
> Bonjour,
>
> Je viens d'obtenir avec certbot mon premier certificat Letsencrypt via le
> challenge DNS-01 (cf [1]).
Bravo !
> Pour différentes raisons (parmi elles, celle qui consiste à éviter
> d'installer Certbot et des identifiants sensibles sur de multiples
> machines),
certbot n'est pas gourmand en mémoire et CPU, et il n'y a pas
d'identifiants particuliers qui lui sont associés.
> Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous les
> certificats toutes les 12 heures:
> 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system &&
> perl -e 'sleep int(rand(43200))' && certbot -q renew
Non, il vérifie si ça doit ou non être renouvellé. Tu peux (mais est-ce
nécessaire) modifier cette fréquence pour le faire tous les mois si tu
veux, à condition que ta machine soit active à ce moment-là.
> 1. Que pensez-vous de centraliser la gestion des certificats ?
C'est un choix personnel. Je suis plutôt dans la politique "chacun sa
merde", et ça m'évite un SPOF sur la machine qui renouvelle.
> 2. Que conseillez-vous pour la fréquence de renouvellement ?
Le out-of-the-box est très bien, non?
> 3. Est-il possible de disposer simultanément d'un certificat wildcard
> *.mondomaine.tld et d'un autre foo.mondomaine.tld ?
> 4. Quels usages légitimes pour un certificat wildcard, quand on peut créer
> rapidement un nouveau certificat et qu'on veut pouvoir les répudier au cas
> par cas ?
Jamais joué avec les wildcards pour le moment, et jamais eu besoin de
répudier un certif.
> 5. Comment sauvegarder la machine avec laquelle on gère ses
> certificats ?
Euh ... Pareil que pour le serveur postgreSQL ou nginx ? Ou bien un truc
m'échappe ?
Reply to: