Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:https_ssl [2023/12/18 10:22] – reprise de la page zatalyzfr:https_ssl [2025/11/18 10:44] (Version actuelle) – [Apache] YannK
Ligne 33: Ligne 33:
 Par défaut, les certificats se trouvent dans ''/etc/letsencrypt/live/'' Par défaut, les certificats se trouvent dans ''/etc/letsencrypt/live/''
  
-Demander la certification d'un seul domaine sans ajouter des crasses partout : +Demander la certification d'un seul domaine sans ajouter des crasses partout. Attention, il faut éteindre/allumer Apache pour que cette commande fonctionne  
 +  sudo service apache2 stop
   sudo certbot certonly --standalone -d mondomain.org   sudo certbot certonly --standalone -d mondomain.org
 +  sudo service apache2 start
 +
 +Ou en une commande((Ça devrait marcher, mais j'ai oublié de tester.)) :
 +  sudo certbot certonly --standalone -d mondomain.org --pre-hook "service apache2 stop" --post-hook "service apache2 restart"
  
 Les chemins à ajouter dans ''/etc/apache2/site-enabled/MONSITE-le-ssl.conf'' seront : Les chemins à ajouter dans ''/etc/apache2/site-enabled/MONSITE-le-ssl.conf'' seront :
Ligne 45: Ligne 50:
  
 === Sous-domaines et domaines différents sur la même machine === === Sous-domaines et domaines différents sur la même machine ===
-Il vaut mieux faire un fichier par //vhost// dans Apache. Faites uniquement les versions non sécurisées (port 80), let's encrypt génère automatiquement les versions sécurisées (port 443, soit le "https"). Vous pouvez désactiver les versions non sécurisées ensuite.+Il vaut mieux faire un fichier par //vhost// dans Apache.  
 + 
 +Si vous n'avez pas spécialement configuré Apache, let's encrypt peut générer automatiquement les versions sécurisées des vhosts (port 443, soit le "https"). Mais je ne trouve pas ça très propre, aussi le conseil est plutôt de faire sa propre version du vhost 443 et de demander les certificats en mode "standalone"
  
 Let's encrypt semble repérer correctement les sous domaines dans le même fichier (nom1.mondomaine.com, nom2.mondomaine.com, etc.)((À éviter quand même, un fichier par sous-domaine c'est mieux.)), mais pas les noms de domaines différents (mondomaine.com et mondomaine2.com par exemple), qui doivent impérativement être dans deux fichiers de configuration différents.  Let's encrypt semble repérer correctement les sous domaines dans le même fichier (nom1.mondomaine.com, nom2.mondomaine.com, etc.)((À éviter quand même, un fichier par sous-domaine c'est mieux.)), mais pas les noms de domaines différents (mondomaine.com et mondomaine2.com par exemple), qui doivent impérativement être dans deux fichiers de configuration différents. 
Ligne 51: Ligne 58:
  
 ==== Sur Nginx ==== ==== Sur Nginx ====
-Nginx a besoin d'être éteint pour obtenir un certficat.+Nginx a besoin d'être éteint pour obtenir un certficat en mode "certonly".
  
 Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur :  Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur : 
Ligne 57: Ligne 64:
 sudo certbot certonly --standalone -d monsite.mondomaine.org sudo certbot certonly --standalone -d monsite.mondomaine.org
 sudo service nginx start</code> sudo service nginx start</code>
 +
 +Ou en une ligne : 
 +  sudo certbot certonly --standalone -d monsite.mondomaine.org --pre-hook "service nginx stop" --post-hook "service nginx restart"
  
 Voir [[fr:nginx#exemple_de_configuration|l'exemple de configuration de nginx]] et la partie sur le port "443" pour ensuite déclarer correctement le certificat généré.  Voir [[fr:nginx#exemple_de_configuration|l'exemple de configuration de nginx]] et la partie sur le port "443" pour ensuite déclarer correctement le certificat généré. 
Ligne 69: Ligne 79:
   sudo certbot renew   sudo certbot renew
  
-Dans le cas de Nginx, il faudra éteindre le service nginx avant, renouveler puis rallumer.+Si vous n'avez que les certificats à renouveller sans laisser let's encrypt bidouiller vos confalors il faudra éteindre le serveur web (nginx ou apache) avant de renouveller, puis rallumer. Cela peut se faire en laissant Certbot gérer :
  
-Un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait : +  sudo certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 restart" 
-  1 1 1 2,4,6,8,10,12 * /usr/bin/certbot renew > /root/renewlets.log+  sudo certbot renew --pre-hook "service nginx stop" --post-hook "service nginx restart"
  
-Le log vous permettra de vérifier s'il y a eu des soucis. 
-</WRAP> 
  
-<WRAP center round todo 60%> +Un cron tout les 90 jours suffirait à renouveler les certificats. Exemple de cronavec renouvellement/vérification tous les mois (à 4h7 du matin) et log de ce qui se fait : 
-On pourrait aussi faire un petit script (dans le cas de nginx en particulier) qui éteint, demande les certificats, rallume nginx, récupère le tout dans un log et l'envoie par mail.+  7 4 * */1 * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx restart" > /root/renewlets.log 
 + 
 +Le log vous permettra de vérifier s'il y a eu des soucis.
 </WRAP> </WRAP>
  
 +==== Supprimer un certificat ====
 +Absolument nécessaire si on migre un site de machine... Il faut alors virer les restes sur l'ancienne machine, sinon cela fera des erreurs.
  
 +  sudo certbot delete --cert-name mondomaine.org
 ===== Client Let's Encrypt ACMEd ===== ===== Client Let's Encrypt ACMEd =====
 Le client ACMEd est à privilégier si vous voulez une installation sécurisée. Voir le détail dans la [[fr:acmed|page dédiée]]. Le client ACMEd est à privilégier si vous voulez une installation sécurisée. Voir le détail dans la [[fr:acmed|page dédiée]].
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/https_ssl.1702894925.txt.gz · Dernière modification : de zatalyz
Licences Mentions légales Accueil du site Contact Inclusion