Wildcard let's encrypt

La date de lancement de l'api de génération de certificats wildcard en phase de test est sensée être demain, le 4 janvier.
La date finale de lancement est prévue pour le 27 février.

Je dois dire que je suis impatient de pouvoir utiliser des certificats wildcard, cela me simplifiera la tâche, j'espère juste que cela sera compatible avec une infrastructure multi-serveurs.

Source : https://letsencrypt.org/2017/12/07/looking-forward-to-2018.html

Réponses

  • pas d'utilité à priori pour moi.

  • Des wildcard chez let's encrypt ?

    RIP les autres... c'était à peu près leur seule raison d'exister.

  • L'utilisation est relativement simple, l'installation de certbot parfois problématique.

    Pour l'installation, j'ai utilisé pip, si celui-ci n'est pas installé, il faut installer le paquet python-pip de la distribution :

    # apt install python-pip
    

    Puis, installer le module certbot :

    # pip install certbot
    

    Si celui-ci était déjà installé, il faut le mettre à jour :

    # pip install certbot -U
    

    En cas de conflit avec un paquet installé de la distribution, supprimer le paquet de la distribution, et réinstaller via pip. Il faut une version de certbot supérieure à 0.22.2 :

    # certbot --version
    

    certbot 0.22.2

    Chez moi, cette commande a généré sur plusieurs serveurs un message d'erreur, en raison d'une incompatibilité avec openssl. La solution était de réinstaller le module python de openssl :

    # pip uninstall pyopenssl
    # pip install pyopenssl
    

    Le seul moyen de vérifier le propriétaire du domaine se fait via les DNS. Il faudra mettre une entrée TXT de la forme _acme-challenge.mondomaine.com, ce qui est un détail. Le seul problème, c'est qu'il faut attendre que les DNS se propagent pour que letsencrypt puisse vérifier. Commençons par lancer la commande pour générer un certificat :

    # certbot certonly --manual -d '*.mondomaine.com' --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/director
    

    Il est utile de préciser que l'on peut mettre plusieurs fois l'option '-d' pour plusieurs domaines, ce qui m'a permis de générer d'un coup des wildcards pour plusieurs domaines. Au bout d'un moment, certbot fournit une passphrase à renseigner dans les DNS sous forme de TXT, à mettre chez le registrar. Il ne faut pas lancer la suite du script tant que les DNS ne sont pas propagés, ce qui peut durer une heure ... sinon ça plante.

    Une fois validé, les certificats se trouvent dans /etc/letsencrypt/live/mondomaine.com/, et il reste à adapter les configurations de apache, nginx, dovecot, etc ...

    J'attends de voir le renouvellement dans 3 mois.

Connectez-vous ou Inscrivez-vous pour répondre.