Attention ! Ne cliquez pas sur ce lien, c'est un piège à enfoirés du net !

Chez oim, forum libreChez oim, forum libre

 


Pages: 1 [2] 3   En bas

Auteur Sujet: Le wildcard LetsEncrypt, c'est pour quand ?  (Lu 6014 fois)

JCFM

  • Invité
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #14 le: mardi 13 mars 2018, 19:03 »
le: mardi 13 mars 2018, 19:03

Ca y est, ACMEv2 est disponible et, avec lui, les certificats Wildcard Lets Encrypt ! :gq:

Un certificat wildcard vient d'être créé pour ce site et tout s'est très bien passé. :)

Tu es content ..........................cela te coûte combien ?
Signaler au modérateur   IP archivée

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #15 le: mardi 13 mars 2018, 19:16 »
le: mardi 13 mars 2018, 19:16

Le gros avantage de Lets Encrypt, c'est qu'ils délivrent des certificats de sécurité gratuits. ;)

Et maintenant qu'ils délivrent du wildcard, ça va faire foutrement baisser le chiffre d'affaire de certains vendeurs. ::)
Parce-que mine de rien, un certificat wildcard, c'était tout sauf donné !
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #16 le: mercredi 14 mars 2018, 19:24 »
le: mercredi 14 mars 2018, 19:24

Bonsoir,

Comme j'ai pas trop le temps de suivre l'évolution des news en perspective ?

Sur certains sites Américains pour fin de ce mois si tout va bien mais rien grand chose de concret on dirait plus des brèves de comptoir qu'autre chose  ^-^
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #17 le: mercredi 14 mars 2018, 19:55 »
le: mercredi 14 mars 2018, 19:55

Mais quelle évolution ? Ca y est, c'est fait depuis hier. Tu peux arrêter de chercher des infos, c'est officiel. :)
Pour avoir des infos fiables et véridiques, il suffit simplement de regarder sur le site de Lets Encrypt. ;)

Le protocole ACMEv2 est fonctionnel. Ils est donc possible d'obtenir un certificat de sécurité Wildcard auprès de Lets Encrypt.
Que dire de plus ? :iq:


Lets Encrypt a déclaré hier :
La prise en charge du protocole ACMEv2 et des certificats wildcard est disponible. Merci pour votre patience !


Regarde le certificat de chez-oim.org, tu verras que c'est un  wildcard. ;)


Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #18 le: jeudi 15 mars 2018, 03:30 »
le: jeudi 15 mars 2018, 03:30

Bonjour,

Je n'ai pas approfondi la chose : The currently selected ACME CA endpoint does not support issuing wildcard certificates.

:)
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #19 le: jeudi 15 mars 2018, 08:24 »
le: jeudi 15 mars 2018, 08:24

Oui, j'ai vu que tu as créé 2 certificats non wildcard dans la nuit.

J'imagine que tu utilises Certbot. Dans ce cas, il te faut la version 0.22 minimum.
Attention ! C'est de la validation DNS, je le répète ! Tu peux oublier le chemin /.well-known/acme-challenge/ de la validation HTTP.

Le problème de Certbot, c'est qu'il propose peu d'APIs DNS. Ce qui oblige à créer les enregistrements DNS manuellement.
C'est pour ça que je conseille d'utiliser acme.sh qui propose plus de 40 APIs DNS des registrars les plus répandus et permet donc d'obtenir un certificat entièrement en automatique, c'est quand même plus simple surtout pour le renouvellement.

Page affichant la liste de tous les clients compatibles ACMEv2.
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #20 le: jeudi 15 mars 2018, 14:30 »
le: jeudi 15 mars 2018, 14:30

Bonjour,

Ok mais tu dois mettre une validation de zone txt dns pour chaque domaine ?

:)
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #21 le: jeudi 15 mars 2018, 19:47 »
le: jeudi 15 mars 2018, 19:47

Oui, c'est ça.
Vu qu'il y a le domaine.tld et *.domaine.tld, ça fait 2 enregistrements TXT.

Si tu n'as pas trouvé l'API pour ton registrar, tu peux toujours basculer ta zone DNS chez Cloudflare. C'est gratuit. :iq:
Sinon tu prends la documentation Certbot pour récupérer ce qu'il veut et modifier la zone DNS dans Bind avec un script.
Parce-que faire des copier/coller pour créer des enregistrements TXT tous les 3 mois, ça peut rapidement devenir pénible. :gd:
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #22 le: jeudi 15 mars 2018, 19:52 »
le: jeudi 15 mars 2018, 19:52

Bonsoir,

Et la validation txt est valable combien de temps car il faut une propagation aussi ?

Cela me semble assez pénible pour le moment j'espère qu'ils vont faire comme avant pour le wildcard ou cela se faisait tout seul.

:)
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #23 le: jeudi 15 mars 2018, 20:06 »
le: jeudi 15 mars 2018, 20:06

C'est rapide. En quelques secondes les enregistrements sont dispos (le délai pas défaut de acme.sh est de 2 minutes).
Lets Encrypt ne va pas attendre de propagation pendant 40 ans et va questionner les DNS les plus proches du domaine. C'est les DNS présents dans le registre whois.

La validation HTTP, je ne sais pas si c'est prévu. Dans leur annonce, Lets Encrypt dis que tout le monde va basculer vers ACMEv2 et évoque l'abandon de ACMEv1 sans donner de date, mais ils ne parlent pas de validation HTTP pour le wildcard.

Replie toi donc sur acme.sh, ça m'étonnerait que tu ne trouves pas l'API DNS qui va bien.
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #24 le: jeudi 15 mars 2018, 20:18 »
le: jeudi 15 mars 2018, 20:18

Non cela fonctionne mais il me demande une validation Cname TXT donc c'était juste pour voir si c'était bien la bonne procédure et qu'il n'y en avait pas d'autres plus simple. Pour mettre un Zone name chez gandi il faut alors être super speed et c'est pas évident dans leur nouvelle interface.

Bon je testerai un domaine qui ne me sert pas comme test comme cela si cela plante ben pas grave mais je me demande si le cname text n'est pas commun à tout les domaines.

:)
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #25 le: jeudi 15 mars 2018, 20:30 »
le: jeudi 15 mars 2018, 20:30

Attention ! C'est des enregistrements TXT, pas CNAME !

Si le domaine est example.com, on te demandera :
2 enregistrements TXT pour _acme-challenge.example.com

Sinon, bascule un domaine sur les DNS de Cloudflare pour essayer l'API. Tu peux même aller chercher un domaine bidon chez Freenom.
Il faut le faire en automatique, sinon tu vas t'arracher les cheveux. J'ai aussi essayé avec Cloudflare pour préparer un tuto et ça marche bien.

Tu as le temps de le faire à la main, mais c'est la grosse prise de tête. Il faut le faire en auto.
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #26 le: jeudi 15 mars 2018, 20:53 »
le: jeudi 15 mars 2018, 20:53

Oui c'est en Zone Txt autant pour moi mais tu ne penses tout de même pas que je vais leur sacrifier mes trois derniers cheveux pfff... non mais  :iz:  ^-^

Bon je vais attendre ta procédure pour voir comment tu récupère ces foutus textes et les réinjectes dans les Zones de Txt en mode automatique car là rien que d'y penser j'ai vraiment pas envie de le faire.

Il doit bien exister un truc sinon ce ne sera pas tenable de plus si t'oublies ben paf plus de certificats valides car pas moyen de mettre un cron....  :iz:

Je préfère encore mettre ma liste en auto avec mes sous domaines la au moins pas de soucis....un bash avec un cron et terminé.

:)
Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #27 le: jeudi 15 mars 2018, 21:12 »
le: jeudi 15 mars 2018, 21:12

Fais gaffe, le tuto que je vais faire concernera acme.sh et Cloudflare.
Je suis prêt à parier que beaucoup de webmasters vont confier la gestion DNS de leur domaine à Cloudflare pour avoir un certificat wildcard alors que c'est impossible avec leur hébergeur/registrar.
De toute façon, quand c'est compris pour Cloudflare, ça va tout seul pour les autres.

Perso, je ne récupère rien du tout pour le réinjecter. C'est acme.sh et l'API DNS qui font le boulot.
J'ai aussi une cron qui tourne pour le renouvellement. Sinon ce serait pas la peine, je n'aurais jamais pris de wildcard.

Bon, ici c'est pas Cloudflare, mais c'est pareil, une API est utilisée pour faire le boulot.
Regarde ici si tu ne trouves pas l'API qui pourrait faire ton bonheur : APIs DNS disponibles pour acme.sh (il y en a 40 dont une pour Gandi).

Ils donnent même des tuyaux pour créer une API custom. ;)
Signaler au modérateur   IP archivée

maximus23

  • Observateur
  • Pipelette invétérée
  • *******
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 2.509
  • Grand chevalier du mot de passe
      • ®Smf® Solutions
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #28 le: vendredi 16 mars 2018, 12:39 »
le: vendredi 16 mars 2018, 12:39

Bonjour,

Oui pour Gandi je sais mais quand je vois toute la doc que je dois me taper là je dois dire que pour le moment j'ai pas trop envie de le faire.

Merci pour les infos.

:)


Signaler au modérateur   IP archivée
Amitiés et à bientôt...
Have a nice day...

alex

  • Administrateur
  • Moulin à paroles
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 23.065
  • Proprio officiel chez oim !
Le wildcard LetsEncrypt, c'est pour quand ?
« Réponse #29 le: vendredi 16 mars 2018, 13:23 »
le: vendredi 16 mars 2018, 13:23

J'ai jeté un oeil et c'est pas bien compliqué.
L'API DNS de acme.sh a juste besoin d'une API key qu'il faut demander chez Gandi.
Les instructions sont données dans /~/.acme.sh/dnsapi/dns_gandi_livedns.sh

Après, tu as juste à créer ton certificat avec l'API Gandi :
Code: bash
acme.sh --issue -d example.com -d *.example.com --dns dns_gandi_livedns
Ensuite, ton certificat et sa clé se trouvent dans /~/.acme.sh/example.com :)
Laisse le contenu de ce dossier en place ! C'est utilisé par acme.sh

Pour le renouvellement, tu auras juste à faire une cron toute bête :
Code: bash
acme.sh --renew -d example.com -d *.example.com --dns dns_gandi_livedns
Si le certificat est valable encore plus de 30 jours, acme.sh refusera de le renouveler (sauf si tu utilises le paramètre --force)

Si tu as plusieurs certificats que tu veux renouveler en une fois :
Code: bash
acme.sh --renewAll
Signaler au modérateur   IP archivée
Pages: 1 [2] 3   En haut
 

Page générée en 0.171 secondes avec 21 requêtes.