Ldfa Posté(e) le 30 décembre 2019 Partager Posté(e) le 30 décembre 2019 Ayant un peu de temps, je me suis décidé – moi et ma flemme sacrée – à virer mon certificat StartSSL. Pour les désinformés, il y a une bien triste histoire à connaître sur les pratiques de StartSSL/WoSign. Pour gérer les certificats de Let’s Encrypt, l’installation du client CLI dehydrated permet d’automatiser leur génération et leur renouvellement étant donné leur validité de trois mois : # apt install dehydated Premier étape, lister les certificats et les domaines associés (1 certificat par ligne) : # vim /etc/dehydated/domains.txt blog.hbis.fr www.hbis.fr Enfin, le fichier de configuration : # vim /etc/dehydratd/conf.d/letsencrypt BASEDIR="/var/lib/letsencrypt/" WELLKNOWN="/var/www/hbis.fr/blog/html/.well-known/acme-challenge" CONTACT_EMAIL="postmaster@hbis.fr" Reste à lancer la génération : # mkdir -p /var/lib/letsencrypt /var/www/hbis.fr/blog/html/.well-known/acme-challenge # dehydrated -c --force Les différents services sécurisés sont à réconfigurer: # vim /etc/nginx/ssl-enabled/hbis ssl on; ssl_certificate /var/lib/letsencrypt/certs/blog.hbis.fr/fullchain.pem; ssl_certificate_key /var/lib/letsencrypt/certs/blog.hbis.fr/privkey.pem; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /var/lib/letsencrypt/certs/blog.hbis.fr/chain.pem; # vim /etc/postfix/main.cf smtpd_tls_CAfile = /var/lib/letsencrypt/certs/blog.hbis.fr/chain.pem smtpd_tls_cert_file = /var/lib/letsencrypt/certs/blog.hbis.fr/cert.pem smtpd_tls_key_file = /var/lib/letsencrypt/certs/blog.hbis.fr/privkey.pem # vim /etc/dovecot/conf.d/10-ssl ssl_cert = </var/lib/letsencrypt/certs/blog.hbis.fr/fullchain.pem ssl_key = </var/lib/letsencrypt/certs/blog.hbis.fr/privkey.pem Dernière étape, il est nécessaire de mettre en place un cron pour les renouveller automatiquement et relancer les services nécessaires: # vim /etc/cron.montly/dehydrated #!/bin/bash /usr/bin/dehydrated -c &amp;&amp; systemctl restart nginx postfix dovecot # chmod +x /etc/cron.montly/dehydrated Afficher l’article complet Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.