Bonjour,
Je viens d'obtenir avec certbot mon premier certificat Letsencrypt via le challenge DNS-01 (cf [1]).
C'est l'occasion pour moi de définir ma façon de gérer ces certificats.
Pour différentes raisons (parmi elles, celle qui consiste à éviter d'installer Certbot et des identifiants sensibles sur de multiples machines), j'imagine centraliser la gestion (création, renouvellement, suppression) des certificats sur une machine unique et de mécaniser, si possible, la copie de ces certificats sur les machines où ils sont nécessaires.
Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous les certificats toutes les 12 heures:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
Pourtant lors de sa création, mon certificat est annoncé comme valide jusqu'au 2021-02-23
1. Que pensez-vous de centraliser la gestion des certificats ?
2. Que conseillez-vous pour la fréquence de renouvellement ?
3. Est-il possible de disposer simultanément d'un certificat wildcard *.mondomaine.tld et d'un autre foo.mondomaine.tld ?
4. Quels usages légitimes pour un certificat wildcard, quand on peut créer rapidement un nouveau certificat et qu'on veut pouvoir les répudier au cas par cas ?
5. Comment sauvegarder la machine avec laquelle on gère ses certificats ?
Slts