kb:crypto:letsencrypt
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
kb:crypto:letsencrypt [2018/03/10 14:21] – [Renouvellement du certificat] beu | kb:crypto:letsencrypt [2019/11/28 17:07] – [Génération du certificat] beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
======Let' | ======Let' | ||
- | ====Introduction==== | + | ====Comprendre Let's Encrypt==== |
+ | |||
+ | Let's Encrypt est un Autorité de Certification qui est **GRATUITE** et qui permet de signer un certificat de façon automatique et quasi instantané. | ||
+ | |||
+ | Deux méthodes existent pour valider un certificat :\\ | ||
+ | - Par requête HTTP : Lors de la demande de certificat, l'API va effectuer une requête HTTP sur la dites URL dans le répertoire /// | ||
+ | - Par requêtes DNS : Lors de la requête, l'API fera une requête TXT particulière sur le DNS. Celle-ci n'est soit pas automatique ou elle oblige que le serveur WEB puissent mettre à jour sa zone DNS. Bien que plus contraignante, | ||
+ | |||
+ | ====Pourquoi cette méthode==== | ||
L' | L' | ||
Ligne 9: | Ligne 17: | ||
Cette méthode n'est pas éligible au renouvellement automatique de certbot, donc il faudra ajouter manuellement l' | Cette méthode n'est pas éligible au renouvellement automatique de certbot, donc il faudra ajouter manuellement l' | ||
+ | |||
====Génération du certificat==== | ====Génération du certificat==== | ||
Ligne 14: | Ligne 23: | ||
Pour chaque domaines, nous allons créer les dossiers où seront stocké les certificats et les clés: | Pour chaque domaines, nous allons créer les dossiers où seront stocké les certificats et les clés: | ||
- | < | + | < |
- | # mkdir -p / | + | # mkdir -p / |
- | # mkdir -p / | + | |
</ | </ | ||
- | puis on génère | + | puis on génère |
- | < | + | < |
# openssl ecparam -name prime256v1 -genkey -out / | # openssl ecparam -name prime256v1 -genkey -out / | ||
- | # openssl req -new -key virtit.pem -nodes -days 3650 -out / | ||
</ | </ | ||
- | Ces certificats seront unique mais pensez à les renouveler | + | Puis le certificat publique |
+ | |||
+ | <code bash> | ||
+ | # openssl req -new -subj "/ | ||
+ | </ | ||
+ | |||
+ | Ces certificats seront unique mais pensez à les renouveler | ||
====Signature du certificat==== | ====Signature du certificat==== | ||
Ligne 32: | Ligne 45: | ||
Pour signer votre certificat, il faut lancer la commande suivante : | Pour signer votre certificat, il faut lancer la commande suivante : | ||
- | < | + | < |
- | # certbot certonly --webroot -w / | + | # certbot certonly --webroot -w / |
</ | </ | ||
Ligne 41: | Ligne 54: | ||
Je vous conseil d' | Je vous conseil d' | ||
- | < | + | < |
- | 0 2 1 * * /bin/rm / | + | 0 2 1 * * root /bin/mv / |
</ | </ | ||
- | Il faudra adapter la dite commande avec le bon domaine | + | Il faudra adapter la dite commande avec le bon domaine. |
+ | |||
+ | La fonction |
kb/crypto/letsencrypt.txt · Dernière modification : 2022/10/14 09:30 de beu