Re: Conseils sur l'utilisation de certificats Letsencrypt
Le 25/11/20 à 17h38, Olivier <oza.4h07@gmail.com> a écrit :
> Bonjour,
>
> Je viens d'obtenir avec certbot mon premier certificat Letsencrypt via le
> challenge DNS-01 (cf [1]).
> C'est l'occasion pour moi de définir ma façon de gérer ces certificats.
>
> Pour différentes raisons (parmi elles, celle qui consiste à éviter
> d'installer Certbot et des identifiants sensibles sur de multiples
> machines),
Il n'y a rien de sensible sur la machine qui lance certbot.
J'utilise certbot sur chaque frontal https, lorque je veux ajouter un vhost
foo.mondomaine.tld
- j'ajoute foo dans le dns de mondomaine.tld (seulement une entrée A, pour
pointer sur le bon frontal web)
- je génère le premier certificat manuellement (sur le frontal concerné)
avec la commande
certbot certonly --rsa-key-size 4096 --webroot -w /var/www/certbot -d
foo.mondomaine.tld
(plusieurs -d possibles)
- je crée la conf nginx du vhost avec ce certif
et ensuite ça roule tout seul…
J'ai juste ajouté un override systemd pour ne faire le check qu'une fois par nuit
et pour appeler un hook maison afin d'être prévenu à chaque renouvellement.
Pour que ça fonctionne, j'ai une règle nginx sur le http_default (le vhost
est pas encore créé car j'ai pas encore le certif)
location ~ ^/.well-known/acme-challenge {
root /var/www/certbot;
}
(le user qui lance la commande certbot doit avoir les droits d'écriture sur
/var/www/certbot, pour que LE retrouve ses petits dans ce dossier lorsqu'il
fait sa vérif)
> j'imagine centraliser la gestion (création, renouvellement,
> suppression) des certificats sur une machine unique et de mécaniser, si
> possible, la copie de ces certificats sur les machines où ils sont
> nécessaires.
>
> Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous les
> certificats toutes les 12 heures:
> 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system &&
> perl -e 'sleep int(rand(43200))' && certbot -q renew
non, il regarde toutes les 12 heures s'il faut le renouveler.
> Pourtant lors de sa création, mon certificat est annoncé comme valide
> jusqu'au 2021-02-23
Oui, c'est 3 mois, et certbot va le renouveler 20j avant l'échéance.
> 1. Que pensez-vous de centraliser la gestion des certificats ?
Pas très bien compris, amha c'est plus compliqué.
> 2. Que conseillez-vous pour la fréquence de renouvellement ?
Ça c'est pas toi qui choisit, c'est LE qui impose 3 mois de validité.
> 3. Est-il possible de disposer simultanément d'un certificat wildcard
> *.mondomaine.tld et d'un autre foo.mondomaine.tld ?
Je crois pas que LE propose de wildcard, mais tu peux lister autant de
domaines que tu veux dans le même certif (pas forcément tous des sous-domaines
du même domaine).
> 4. Quels usages légitimes pour un certificat wildcard, quand on peut créer
> rapidement un nouveau certificat et qu'on veut pouvoir les répudier au cas
> par cas ?
Pas bien compris, j'utilise toujours un certif par sous-domaine et j'en ai
jamais répudié, mais je suppose que tu répudie le certif global et que tu
en recrée un nouveau avec la même chose sauf ce que tu veux répudier.
> 5. Comment sauvegarder la machine avec laquelle on gère ses certificats ?
Comme n'importe quelle autre machine, mais j'ai probablement pas compris la question.
> [1] https://buzut.net/certbot-challenge-dns-ovh-wildcard/
Ça me paraît bien compliqué, pour ma part j'installe le paquet debian certbot et
rien d'autre, et c'est hors de question de lui filer un droit de modif sur mes dns
ou ma conf nginx.
--
Daniel
Plus je grossis, plus je m'aigris.
Philippe Geluck, Le chat
Reply to: