Renouvellement de certificats

Creute !

Je suis en train de renouveler mes certificats chez StarSSL et qu’apprends-je ? Ils ne sont plus considérés comme sûr par les navigateurs. Donc mes nouveaux certificats sont Ok, par contre l’intermédiaire ne l’est plus. La barbe, parce que j’ai franchement pas que ça à faire moi !

Déjà que j’avais du mal avec la mise en place de tout ce bordel, va falloir que je trouve un autre moyen, éventuellement en installant la procédure de chez LetsEncrypt, sauf qu’il faut un peu bousculer la config serveur et que je ne suis pas tout seul dessus ; et j’ai moyen envie de tout casser les sites des copains…


Et après installation du CertBot, censé prendre en charge l’installation et le renouvellement du certificat, ça plante \o/


Après quelques cheveux en moins, la procédure (manuelle) :

  • Installation de CertBot
  • Récupération du premier certificat pour chacun des (sous-)domaines concernés : letsencrypt --manual certonly -d <domaine>
  • Vérifier que les répertoires /etc/letsencrypt/live et /etc/letsencrypt/live sont accessibles en lecture (un chmod 0755 si besoin)
  • Mettre en place la configuration Apache pour chacun des domaines (Apache 2.4+) et relancer Apache :

SSLCertificateKeyFile /etc/letsencrypt/live/domaine/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/open-time.net/fullchain.pem

  • Un petit apachectl configtest permet de vérifier que tout va bien avant de relancer avec un apachectl restart

Puis ensuite pour renouveler les certificats :

  • letsencrypt renew devrait suffire et c’est à mettre dans une tâche cron mensuelle (par exemple) vu que les certificats expirent au bout de 90 jours.

J’ai pas encore compris s’il fallait relancer Apache après un renouvellement effectif (je pense que oui). Je verrai ça d’ici mi-mai, quand les certificats seront à moins de 30 jours de validité…

Pour tester le renouvellement (en forçant le renouvellement des certificats, même si avec plus de 30 jours de validité), un letsencrypt --force-renew renew suffit pour vérifier la procédure.

La documentation aide bien, même si pas tout à fait à jour il me semble, par exemple les paramètres pre-hook et post-hook ne semblent plus être reconnus.

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/13243

Haut de page