evolix
/
wiki
22
0
Fork 0
Code Releases Activity

Mise à jour de la doc LetsEncrypt pour Nginx

This commit is contained in:
Patrick Marchand 2020-04-27 13:36:09 -04:00
parent 21a10b6418
commit e8d97fc12a
2 changed files with 14 additions and 23 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

35
HowtoLetsEncrypt.md
View File

@ -73,6 +73,9 @@ Alias /.well-known/acme-challenge /var/lib/letsencrypt/.well-known/acme-challeng
#### Nginx #### Nginx
Préférez importer le snippet /etc/nginx/snippets/letsencrypt.conf,
mais si une configuration manuelle est nécessaire:
Configuration Jessie : Configuration Jessie :
~~~ ~~~
@ -96,36 +99,24 @@ location ~ /.well-known/acme-challenge {
## Génération du certificat ## Génération du certificat
Générér une clé privée (www.example.com.key) et sa demande de certificat associé (www.example.com.csr) (voir [HowtoSSL]()) : Générer une clé privée (www.example.com.key) et sa demande de certificat associé (www.example.com.csr) (voir [HowtoSSL]()) :
~~~ ~~~
# openssl req -newkey rsa:2048 -sha256 -nodes -keyout /etc/ssl/private/www.example.com.key -out /etc/letsencrypt/www.example.com.csr $ certbot certonly -d example.com,www.example.com --cert-name example.com --webroot --webroot-path /var/lib/letsencrypt/
# chown acme:acme /etc/letsencrypt/www.example.com.csr
~~~
Faire la première demande de certificat avec l'utilisateur _acme_ :
~~~
$ certbot certonly --webroot --csr /etc/letsencrypt/www.example.com/www.example.com.csr --webroot-path /var/lib/letsencrypt \
--cert-path /etc/letsencrypt/www.example.com.crt --non-interactive --agree-tos --register-unsafely-without-email
~~~
Votre certificat est maintenant présent dans `/etc/letsencrypt/www.example.com.crt`.
> *Note* : l'utilisateur _acme_ n'a pas accès aux clés privées :
~~~
$ cat /etc/ssl/private/www.example.com.key
cat: /etc/ssl/private/www.example.com.key: Permission non accordée
~~~ ~~~
## Renouvellement du certificat ## Renouvellement du certificat
Les certificats Let's Encrypt sont valables 90 jours. Avant la date d'expiration, il faudra relancer avec l'utilisateur _acme_ : Les certificats Let's Encrypt sont valables 90 jours. Un timer systemd roule automatiquement à chaque jour pour revalider le certificat. Il est possible d'utiliser --deploy-hook pour faire des actions après un renouvellement. Utiliser systemd edit certbot pour modifier l'invocation par défaut. Par example, pour NGINX, nous modifions
~~~ ~~~
$ certbot certonly --webroot --csr /etc/letsencrypt/www.example.com/www.example.com.csr --webroot-path /var/lib/letsencrypt \ ExecStart=/usr/bin/certbot -q renew
--cert-path /etc/letsencrypt/www.example.com.crt --non-interactive ~~~
Avec:
~~~
ExecStart=/usr/bin/certbot -q renew --deploy-hook systemctl reload nginx
~~~ ~~~
## Suppression d'un certificat ## Suppression d'un certificat

2
HowtoNginx.md
View File

@ -578,7 +578,7 @@ Attention, `ssl_certificate` doit contenir toute la chaîne de certification, do
# cat sub.class1.server.sha2.ca.pem >> /etc/ssl/certs/ssl.example.com.crt # cat sub.class1.server.sha2.ca.pem >> /etc/ssl/certs/ssl.example.com.crt
~~~ ~~~
Pour une configuration plus avancée, voir [HowtoSSL](HowtoSSL#configuration-nginx) Pour une configuration plus avancée, voir [HowtoSSL](HowtoSSL#configuration-nginx) ou [HowtoLetsEncrypt](HowtoLetsEncrypt#nginx)
## HTTP/2 ## HTTP/2