Raphaël POITEVIN a écrit :
Sébastien Dinot <sebastien.dinot@free.fr> writes:
Bof, beaucoup de complications pour rien. Le seul cas de figure où
la chose est intéressante, c'est lorsqu'on veut confier à Let's
Encrypt la création de certificats pour des machines qui ne sont pas
exposées (seul leur nom étant alors publié dans la zone DNS
publique). Le « proxy » public dialogue alors avec les serveurs de
Let's Encrypt et un outil maison distribue ensuite les certificats
sur les machines qui en ont besoin en interne (et bien évidemment,
dans ce cas, la résolution DNS interne ne donne pas le même résultat
que la résolution DNS externe).
Petite question à ce sujet : est-ce que le reverse proxy en front
auquel on accède en https renvoie bien les informations chiffrées à la
machine cible, sur la quelle je n’ai pas installé le certificat ?
J'ai peur de ne pas avoir compris la question ou de m'être mal expliqué
dans mon message initial. Il ne s'agit pas ici de mettre en place un
(reverse) proxy. Mais seulement une machine mandataire, exposée
publiquement et dont la seule fonction est le renouvèlement des
certificats. Ces certificats sont ensuite distribués aux machines qui en
ont besoin sur le réseau interne. Une rapide recherche sur Internet
vient de me montrer qu'il existe pas mal d'articles sur le sujet sur le
net, de qualité inégale. Celui-ci me semble pas mal :
https://geontech.com/using-letsencrypt-ssl-internally/
J'ai évoqué cette solution car, par design, Let's Encrypt ne peut pas
être utilié pour gérer les certificats d'un réseau interne.
Sébastien