Modification de Certificats wildcard chez LetsEncrypt
La modification peut être annulée. Veuillez vérifier les différences ci-dessous pour voir si c’est bien ce que vous voulez faire, puis publier ces changements pour finaliser l’annulation de cette modification.
Version actuelle | Votre texte | ||
Ligne 1 : | Ligne 1 : | ||
{{TOCRightF}}{{Auteur|Adadov}}LetsEncrypt est un fournisseur de certificats SSL qui gagne à être connu. Ils fournissent gratuitement des certificats à tous ceux qui en font la demande. | {{TOCRightF}}{{Auteur|Adadov}}{{Info|Cet article ne traite que la validation via un DNS que vous administrez.}} | ||
LetsEncrypt est un fournisseur de certificats SSL qui gagne à être connu. Ils fournissent gratuitement des certificats à tous ceux qui en font la demande. | |||
Leur système de vérification automatisé offre plusieurs solutions pour prouver que vous disposer bien du nom de domaine pour lequel vous voulez votre certificat. | Leur système de vérification automatisé offre plusieurs solutions pour prouver que vous disposer bien du nom de domaine pour lequel vous voulez votre certificat. | ||
Ligne 7 : | Ligne 9 : | ||
Mais dans le cas qui nous intéresse, seule la validation par le serveur DNS est possible. Car il vous faudra prouver que vous avez un contrôle total sur la zone DNS pour obtenir un certificat qui soit valable pour n'importe quel hôte du domaine. | Mais dans le cas qui nous intéresse, seule la validation par le serveur DNS est possible. Car il vous faudra prouver que vous avez un contrôle total sur la zone DNS pour obtenir un certificat qui soit valable pour n'importe quel hôte du domaine. | ||
{{- | {{-}} | ||
== Les certificats wildcard == | == Les certificats wildcard == | ||
Ligne 28 : | Ligne 30 : | ||
Ce certificat est donc valable pour tous les sites présents sur le domaine ''adadov.net''. | Ce certificat est donc valable pour tous les sites présents sur le domaine ''adadov.net''. | ||
== | == Obtenir un certificat de LetsEncrypt == | ||
Comme dit plus tôt, LetsEncrypt a automatisé la validation. Mais ils ont aussi développé un utilitaire (bon il en existe d'autres aussi) qui permet d'obtenir un certificat en seulement quelques minutes. | Comme dit plus tôt, LetsEncrypt a automatisé la validation. Mais ils ont aussi développé un utilitaire (bon il en existe d'autres aussi) qui permet d'obtenir un certificat en seulement quelques minutes. | ||
Cet utilitaire c'est ''' | Cet utilitaire c'est '''certbot'''. | ||
Par défaut certbot utilise la validation via un fichier dans l'espace d'hébergement. Mais pour les wildcard, ce n'est pas suffisant de prouver qu'on a accès à un hôte. Sinon on pourrait facilement obtenir des certificats pour des domaines qui hébergent des pages et détourner leurs services ... | Par défaut certbot utilise la validation via un fichier dans l'espace d'hébergement. Mais pour les wildcard, ce n'est pas suffisant de prouver qu'on a accès à un hôte. Sinon on pourrait facilement obtenir des certificats pour des domaines qui hébergent des pages et détourner leurs services ... | ||
Ligne 46 : | Ligne 48 : | ||
Une fois installé, il faut créer à la main le fichier de configuration. | Une fois installé, il faut créer à la main le fichier de configuration. | ||
Je passerais sur la création de la clé et la configuration de la mise à jour dynamique du DNS, reportez vous à cet article si besoin [[ | Je passerais sur la création de la clé et la configuration de la mise à jour dynamique du DNS, reportez vous à cet article si besoin [[BIND : Configuration des mises à jour dynamique]]. | ||
Pour le fichier de configuration, il devra ressembler à ça:<syntaxhighlight lang="ini"> | Pour le fichier de configuration, il devra ressembler à ça:<syntaxhighlight lang="ini"> | ||
Ligne 64 : | Ligne 66 : | ||
'''NOM_CLE''' et '''CLE_SECRETE'''sont les deux éléments d'identifications pour la mise à jour. | '''NOM_CLE''' et '''CLE_SECRETE'''sont les deux éléments d'identifications pour la mise à jour. | ||
== Obtenir son certificat == | === Obtenir son certificat === | ||
Une fois que tout est en place, une simple commande suffit pour obtenir son certificat. | Une fois que tout est en place, une simple commande suffit pour obtenir son certificat. | ||
{{LxTerm|text=certbot certonly --dns-rfc2136-credentials [credential_file] --dns-rfc2136 -d [domain] -d '*.[domain]'}} | {{Info|titre=L'option ''--server'' est indispensable|Tous les serveurs ne proposent pas ces certificats}} | ||
{{LxTerm|text=certbot certonly --dns-rfc2136-credentials [credential_file] --dns-rfc2136 -d [domain] -d '*.[domain]' --server https://acme-v02.api.letsencrypt.org/directory}} | |||
'''credential_file''' : C'est le chemin vers le fichier de configuration | '''credential_file''' : C'est le chemin vers le fichier de configuration | ||
'''domain''' : c'est le nom de domaine pour lequel on demande le certificat | '''domain''' : c'est le nom de domaine pour lequel on demande le certificat | ||