Aller au contenu

Let’s Encrypt : gestion des certificats avec le client dehydrated

Ldfa

Par Ldfa
dans Mon Wallabag

Messages recommandés

Ldfa Grand Maître

Ldfa

Posté(e)
Posté(e)

Ayant un peu de temps, je me suis décidé – moi et ma flemme sacrée – à virer mon certificat StartSSL. Pour les désinformés, il y a une bien triste histoire à connaître sur les pratiques de StartSSL/WoSign.

Pour gérer les certificats de Let’s Encrypt, l’installation du client CLI dehydrated permet d’automatiser leur génération et leur renouvellement étant donné leur validité de trois mois :

# apt install dehydated

Premier étape, lister les certificats et les domaines associés (1 certificat par ligne) :

# vim /etc/dehydated/domains.txt

blog.hbis.fr www.hbis.fr

Enfin, le fichier de configuration :

# vim /etc/dehydratd/conf.d/letsencrypt

BASEDIR="/var/lib/letsencrypt/"
WELLKNOWN="/var/www/hbis.fr/blog/html/.well-known/acme-challenge"
CONTACT_EMAIL="postmaster@hbis.fr"

Reste à lancer la génération :

# mkdir -p /var/lib/letsencrypt /var/www/hbis.fr/blog/html/.well-known/acme-challenge
# dehydrated -c --force

Les différents services sécurisés sont à réconfigurer:

# vim /etc/nginx/ssl-enabled/hbis

ssl on;
ssl_certificate /var/lib/letsencrypt/certs/blog.hbis.fr/fullchain.pem;
ssl_certificate_key /var/lib/letsencrypt/certs/blog.hbis.fr/privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /var/lib/letsencrypt/certs/blog.hbis.fr/chain.pem;

# vim /etc/postfix/main.cf

smtpd_tls_CAfile = /var/lib/letsencrypt/certs/blog.hbis.fr/chain.pem
smtpd_tls_cert_file = /var/lib/letsencrypt/certs/blog.hbis.fr/cert.pem
smtpd_tls_key_file = /var/lib/letsencrypt/certs/blog.hbis.fr/privkey.pem

# vim /etc/dovecot/conf.d/10-ssl

ssl_cert = </var/lib/letsencrypt/certs/blog.hbis.fr/fullchain.pem
ssl_key = </var/lib/letsencrypt/certs/blog.hbis.fr/privkey.pem

Dernière étape, il est nécessaire de mettre en place un cron pour les renouveller automatiquement et relancer les services nécessaires:

# vim /etc/cron.montly/dehydrated

#!/bin/bash

/usr/bin/dehydrated -c &amp;amp;&amp;amp; systemctl restart nginx postfix dovecot

# chmod +x /etc/cron.montly/dehydrated

Afficher l’article complet

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.