Creute !
Je suis en train de renouveler mes certificats chez StarSSL et qu’apprends-je ? Ils ne sont plus considérés comme sûr par les navigateurs. Donc mes nouveaux certificats sont Ok, par contre l’intermédiaire ne l’est plus. La barbe, parce que j’ai franchement pas que ça à faire moi !
Déjà que j’avais du mal avec la mise en place de tout ce bordel, va falloir que je trouve un autre moyen, éventuellement en installant la procédure de chez LetsEncrypt, sauf qu’il faut un peu bousculer la config serveur et que je ne suis pas tout seul dessus ; et j’ai moyen envie de tout casser les sites des copains…
Et après installation du CertBot, censé prendre en charge l’installation et le renouvellement du certificat, ça plante \o/
Après quelques cheveux en moins, la procédure (manuelle) :
- Installation de CertBot
- Récupération du premier certificat pour chacun des (sous-)domaines concernés :
letsencrypt --manual certonly -d <domaine>
- Vérifier que les répertoires /etc/letsencrypt/live et /etc/letsencrypt/live sont accessibles en lecture (un
chmod 0755
si besoin) - Mettre en place la configuration Apache pour chacun des domaines (Apache 2.4+) et relancer Apache :
SSLCertificateKeyFile /etc/letsencrypt/live/domaine/privkey.pem
SSLCertificateFile /etc/letsencrypt/live/open-time.net/fullchain.pem
- Un petit
apachectl configtest
permet de vérifier que tout va bien avant de relancer avec unapachectl restart
Puis ensuite pour renouveler les certificats :
letsencrypt renew
devrait suffire et c’est à mettre dans une tâche cron mensuelle (par exemple) vu que les certificats expirent au bout de 90 jours.
J’ai pas encore compris s’il fallait relancer Apache après un renouvellement effectif (je pense que oui). Je verrai ça d’ici mi-mai, quand les certificats seront à moins de 30 jours de validité…
Pour tester le renouvellement (en forçant le renouvellement des certificats, même si avec plus de 30 jours de validité), un letsencrypt --force-renew renew
suffit pour vérifier la procédure.
La documentation aide bien, même si pas tout à fait à jour il me semble, par exemple les paramètres pre-hook et post-hook ne semblent plus être reconnus.
1 De Jean-Michel -
Est-ce pour cela que celui du forum DC indique un cadenas barré ?
2 De Franck -
Pas chez moi (sur Chrome, OSX). Tu as peut-être une extension navigateur qui interfère en HTTP ?
3 De Jean-Michel -
Pas que je sache… chez moi, je suis sur Firefox 52.0.1 mais effectivement Chrome 56.0.2924.87 me le fait aussi.
4 De Franck -
Note to /me, pour le renouvellement :
Mais il faut que je revoie la procédure, y’a surement plus simple…
5 De Franck -
Donc, côté cron, il suffit d’un certbot dans /etc/cron.d/ avec :
Pour que ça se lance toutes les 12 heures et que ça renouvelle si besoin les certificats (ceux dont la date de validité est à moins de 30 jours)