Let’s Encrypt : gestion des certificats avec le client dehydrated
Boris HUISGEN March 11, 2017
Ayant un peu de temps, je me suis décidé – moi et ma flemme sacrée – à virer mon certificat StartSSL. Pour les désinformés, il y a une bien triste histoire à connaître sur les pratiques de StartSSL/WoSign.
Pour gérer les certificats de Let’s Encrypt, l’installation du client CLI dehydrated permet d’automatiser leur génération et leur renouvellement étant donné leur validité de trois mois :
# apt install dehydated
Premier étape, lister les certificats et les domaines associés (1 certificat par ligne) :
# vim /etc/dehydated/domains.txt
|
|
Enfin, le fichier de configuration :
# vim /etc/dehydratd/conf.d/letsencrypt.sh
|
|
Reste à lancer la génération :
# mkdir -p /var/lib/letsencrypt /var/www/hbis.fr/blog/html/.well-known/acme-challenge
# dehydrated -c --force
Les différents services sécurisés sont à réconfigurer:
# vim /etc/nginx/ssl-enabled/hbis
|
|
# vim /etc/postfix/main.cf
|
|
# vim /etc/dovecot/conf.d/10-ssl
|
|
Dernière étape, il est nécessaire de mettre en place un cron pour les renouveller automatiquement et relancer les services nécessaires:
# vim /etc/cron.montly/dehydrated
|
|