Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes |
kb:crypto:dane_tlsa [2018/03/07 18:56] – beu | kb:crypto:dane_tlsa [2018/07/02 22:14] – [Génération une entrée] beu |
---|
======DANE/TLSA====== | ======DANE/TLSA====== |
| |
| ====Comprendre DANE/TLSA==== |
| |
| FIXME |
| |
====Compatibilité avec Let's Encrypt==== | ====Compatibilité avec Let's Encrypt==== |
| |
Une des spécificité de **certbot** est que à chaque renouvellement, le **CSR** est recréé et donc l'empreinte du certificat aussi. Ce qui voudrait dire qu'il faudrait donc changer l'entrée **DNS** tous les trois mois. Mais avec un peu de rigueur, et les bons arguments, on peut faire en sorte de garder ses clés publiques et donc permettre de garder ses enregistrement **TLSA** à chaque renouvellement. \\ | Une des spécificité de **certbot** est que à chaque renouvellement, le **CSR** est recréé et donc l'empreinte du certificat aussi. Ce qui voudrait dire qu'il faudrait donc changer l'entrée **DNS** tous les trois mois. Mais avec un peu de rigueur, et les bons arguments, on peut faire en sorte de garder ses clés publiques et donc permettre de garder ses enregistrement **TLSA** à chaque renouvellement. Certe un oubli n'est pas critique à l'heure d'aujourd'hui car non supporté par les navigateurs.\\ |
Je vous renvoi vers [[kb:crypto:letsencrypt|Let's Encrypt]] | Je vous renvoi vers [[kb:crypto:letsencrypt|Let's Encrypt]] |
| |
J'utilise l'outil **hash-slinger** qui permet de générer simplement ces enregistrements avec la commande suivante : | J'utilise l'outil **hash-slinger** qui permet de générer simplement ces enregistrements avec la commande suivante : |
| |
<code> | <code bash> |
# tlsa --create --usage 1 --selector 1 --mtype 2 --certificate /etc/letsencrypt/wiki.virtit.fr/live/cert.pem wiki.virtit.fr | # tlsa --create --usage 1 --selector 1 --mtype 2 --certificate /etc/letsencrypt/wiki.virtit.fr/live/cert.pem wiki.virtit.fr |
</code> | </code> |