Modification de Certificats wildcard chez LetsEncrypt

Attention : vous n’êtes pas connecté(e). Votre adresse IP sera visible de tout le monde si vous faites des modifications. Si vous vous connectez ou créez un compte, vos modifications seront attribuées à votre propre nom d’utilisateur(rice) et vous aurez d’autres avantages.

La modification peut être annulée. Veuillez vérifier les différences ci-dessous pour voir si c’est bien ce que vous voulez faire, puis publier ces changements pour finaliser l’annulation de cette modification.

Version actuelle Votre texte
Ligne 1 : Ligne 1 :
{{TOCRightF}}{{Auteur|Adadov}}LetsEncrypt est un fournisseur de certificats SSL qui gagne à être connu. Ils fournissent gratuitement des certificats à tous ceux qui en font la demande.
{{TOCRightF}}{{Auteur|Adadov}}{{Info|Cet article ne traite que la validation via un DNS que vous administrez.}}
 
LetsEncrypt est un fournisseur de certificats SSL qui gagne à être connu. Ils fournissent gratuitement des certificats à tous ceux qui en font la demande.


Leur système de vérification automatisé offre plusieurs solutions pour prouver que vous disposer bien du nom de domaine pour lequel vous voulez votre certificat.
Leur système de vérification automatisé offre plusieurs solutions pour prouver que vous disposer bien du nom de domaine pour lequel vous voulez votre certificat.
Ligne 7 : Ligne 9 :
Mais dans le cas qui nous intéresse, seule la validation par le serveur DNS est possible. Car il vous faudra prouver que vous avez un contrôle total sur la zone DNS pour obtenir un certificat qui soit valable pour n'importe quel hôte du domaine.
Mais dans le cas qui nous intéresse, seule la validation par le serveur DNS est possible. Car il vous faudra prouver que vous avez un contrôle total sur la zone DNS pour obtenir un certificat qui soit valable pour n'importe quel hôte du domaine.


{{-}}{{Info|Cet article ne traite que la validation via un DNS que vous administrez.}}
{{-}}


== Les certificats wildcard ==
== Les certificats wildcard ==
Ligne 28 : Ligne 30 :
Ce certificat est donc valable pour tous les sites présents sur le domaine ''adadov.net''.
Ce certificat est donc valable pour tous les sites présents sur le domaine ''adadov.net''.


== Configurer les utilitaires ==
== Obtenir un certificat de LetsEncrypt ==
Comme dit plus tôt, LetsEncrypt a automatisé la validation. Mais ils ont aussi développé un utilitaire (bon il en existe d'autres aussi) qui permet d'obtenir un certificat en seulement quelques minutes.
Comme dit plus tôt, LetsEncrypt a automatisé la validation. Mais ils ont aussi développé un utilitaire (bon il en existe d'autres aussi) qui permet d'obtenir un certificat en seulement quelques minutes.


Cet utilitaire c'est '''[https://certbot.eff.org/docs/ certbot]'''.
Cet utilitaire c'est '''certbot'''.


Par défaut certbot utilise la validation via un fichier dans l'espace d'hébergement. Mais pour les wildcard, ce n'est pas suffisant de prouver qu'on a accès à un hôte. Sinon on pourrait facilement obtenir des certificats pour des domaines qui hébergent des pages et détourner leurs services ...
Par défaut certbot utilise la validation via un fichier dans l'espace d'hébergement. Mais pour les wildcard, ce n'est pas suffisant de prouver qu'on a accès à un hôte. Sinon on pourrait facilement obtenir des certificats pour des domaines qui hébergent des pages et détourner leurs services ...
Ligne 46 : Ligne 48 :
Une fois installé, il faut créer à la main le fichier de configuration.
Une fois installé, il faut créer à la main le fichier de configuration.


Je passerais sur la création de la clé et la configuration de la mise à jour dynamique du DNS, reportez vous à cet article si besoin [[Mise a jour dynamique d'une zone DNS|BIND : Configuration des mises à jour dynamique]].
Je passerais sur la création de la clé et la configuration de la mise à jour dynamique du DNS, reportez vous à cet article si besoin [[BIND : Configuration des mises à jour dynamique]].


Pour le fichier de configuration, il devra ressembler à ça:<syntaxhighlight lang="ini">
Pour le fichier de configuration, il devra ressembler à ça:<syntaxhighlight lang="ini">
Ligne 64 : Ligne 66 :
'''NOM_CLE''' et '''CLE_SECRETE'''sont les deux éléments d'identifications pour la mise à jour.
'''NOM_CLE''' et '''CLE_SECRETE'''sont les deux éléments d'identifications pour la mise à jour.


== Obtenir son certificat ==
=== Obtenir son certificat ===
Une fois que tout est en place, une simple commande suffit pour obtenir son certificat.
Une fois que tout est en place, une simple commande suffit pour obtenir son certificat.
{{LxTerm|text=certbot certonly --dns-rfc2136-credentials [credential_file] --dns-rfc2136 -d [domain] -d '*.[domain]'}}
{{Info|titre=L'option ''--server'' est indispensable|Tous les serveurs ne proposent pas ces certificats}}
{{LxTerm|text=certbot certonly --dns-rfc2136-credentials [credential_file] --dns-rfc2136 -d [domain] -d '*.[domain]' --server https://acme-v02.api.letsencrypt.org/directory}}
'''credential_file''' : C'est le chemin vers le fichier de configuration
'''credential_file''' : C'est le chemin vers le fichier de configuration


'''domain''' : c'est le nom de domaine pour lequel on demande le certificat
'''domain''' : c'est le nom de domaine pour lequel on demande le certificat
== Mes certificats ==
Une fois que certbot a fini son travail, tous les fichiers nécessaires à l'utilisation de votre certificats sont présents sur la machine locale.
Il est par contre important de les utiliser à leur emplacement d'origine (ou au moins d'y laisser une copie). Sinon le renouvellement sera impossible.
Vous trouverez donc des liens symboliques vers les différents fichiers dans {{Path|/etc/letsencrypt/live/[domain]/}} ou '''[domain]''' est le nom de domaine pour lequel vous avez demandé le certificat.
Descriptif des fichiers présents :
* privkey.pem : Clé privée du certificat
* fullchain.pem : Fichier contenant la chaine complète de certificats (celui demandé compris)
* cert.pem : Contient le certificat demandé
* chain.pem : Contient la chaine de certificats des autorités
[https://certbot.eff.org/docs/using.html#where-are-my-certificates Version officielle en anglais]
== Voir aussi ==
* https://certbot.eff.org/docs/
* https://letsencrypt.org/getting-started/
* https://certbot-dns-rfc2136.readthedocs.io/en/latest/
* https://letsencrypt.org/docs/staging-environment/
[[Catégorie:SysAdmin]]
[[Catégorie:SSL / Certificats]]
[[Catégorie:Security]]
Notez bien que toutes les contributions à Adadov.net wiki peuvent être modifiées, transformées ou supprimées par d’autres utilisateurs. Si vous ne désirez pas que vos écrits soient modifiés contre votre gré, merci de ne pas les soumettre ici.
Vous nous promettez aussi que vous avez écrit ceci vous-même ou que vous l’avez copié d’une source placée dans le domaine public ou d’une ressource libre similaire (voir AdadovNet:Copyrights pour plus de détails). N’utilisez aucun travail sous droits d’auteur sans autorisation expresse !
Annuler Aide pour la modification (s’ouvre dans une nouvelle fenêtre)

Modèles utilisés par cette page :

Récupérée de « https://wiki.adadov.net/Certificats_wildcard_chez_LetsEncrypt »