Rien de tel qu'un bon vieux copier/coller de ce que je t'avais répondu tout à l'heure. :)
Il y a les liens avec. Si tu as déjà Certbot, tu as juste à le mettre à jour. Ils en sont à la V0.21.1 sortie fin janvier.
Sinon, tu réinstalles carrément et tu auras la dernière version :
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
Si tu as cURL au lieu de Wget :
curl -O https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
Ensuite, tu exécutes et ça se fait tout seul.
Voilà ce que je disais :
Pas la peine d'attendre le 1 mars, c'est déjà commencé.
Le script acme.sh (https://github.com/Neilpang/acme.sh) a été mis à jour pour pouvoir générer des certificats wildcard. :)
Il me semble que Certbot (https://github.com/certbot/certbot) est prêt aussi.
Mais attention ! Comme je te l'avais dit, c'est de la validation DNS.
Avec acme.sh, tu peux y arriver si tu trouves l'API qui correspond à ton registrar (https://github.com/Neilpang/acme.sh/tree/master/dnsapi) ou utilitaire serveur. Ils en proposent des dizaines.
Vivement qu'ils passent à la validation HTTP, je n'attends que ça. :gd:
Utilise acme.sh, la syntaxe est à peu près la même et tu as toutes les API pour créer les enregistrements DNS automatiquement.
Pour installer acme.sh, c'est aussi simple que Certbot :
wget -O - https://get.acme.sh | sh
OU
curl https://get.acme.sh | sh
OU ENCORE
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install
Ensuite, le bidule est dans le dossier ~/.acme.sh et tous les certificats seront placés dans ce dossier.
Il te restera donc à copier les certificats au bon endroit dès que tu les as.
Petite rectification, acme V2 n'est pas encore tout à fait prêt. C'est prévu pour la fin du mois.
Je me suis battu toute la nuit pour avoir un wildcard sans succès, bien entendu...
Voilà ce qui est dit chez Let's Encrypt :
Anglais :
We previously communicated that we would launch ACMEv2 and wildcard certificate support on February 27th. ACMEv2 and wildcard support is nearly ready but we will be delaying the full launch in order to give our teams more time to complete testing and quality assurance activities. While we work hard to hit deadlines, we are inclined to prioritize a quality release over hitting a deadline.
The biggest reason for this delay is the recent TLS-SNI deprecation. This unexpectedly pulled most engineering resources away from ACMEv2 and wildcard support for approximately two weeks.
We introduced a public test API endpoint511 for the ACME v2 protocol and wildcard support on January 4, 2018. Thank you to everyone who has provided feedback on the staging endpoint.
We will provide updates here weekly and encourage client developers to continue to utilize the staging endpoint to prepare for ACMEv2 and wildcard issuance.
Français :
Nous avons précédemment indiqué que nous lancerions le support des certificats ACMEv2 et wildcard le 27 février. Le support d'ACMEv2 et de wildcard est presque prêt, mais nous allons retarder le lancement complet afin de donner plus de temps à nos équipes pour compléter les tests et les activités d'assurance qualité. Alors que nous travaillons dur pour respecter les délais, nous sommes enclins à prioriser une publication de qualité avant une date limite.
La principale raison de ce retard est la récente dépréciation de TLS-SNI. Cela a monopolisé de manière inattendue la plupart des ressources d'ingénierie autour du support ACMEv2 et des caractères génériques pendant environ deux semaines.
Nous avons introduit une API de test publique endpoint511 pour le protocole ACME v2 et la prise en charge des caractères génériques le 4 janvier 2018. Merci à tous ceux qui ont fourni des commentaires sur le point de terminaison de transfert.
Nous fournirons des mises à jour ici chaque semaine et encouragerons les développeurs clients à continuer d'utiliser le point de terminaison intermédiaire pour préparer l'émission de ACMEv2 et des caractères génériques.
Voilà, voilà... :iz:
Tain ! Je me suis battu toute la nuit pour rien, je viens juste d'avoir la réponse... :je:
J'ai juste réussi à avoir un certificat wildcard de test sur l'API ACME V2 provisoire et l'API DNS de Cloudflare (j'ai modifié quelques "trucs sensibles" dans les lignes qui sont justes en dessous). ;)
acme.sh --issue -d my_domain.tld -d *.my_domain.tld --dns dns_cf --test
[ven. févr. 23 12:03:38 CET 2018] Using stage ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
[ven. févr. 23 12:04:02 CET 2018] Multi domain='DNS:my_domain.tld,DNS:*.my_domain.tld'
[ven. févr. 23 12:04:02 CET 2018] Getting domain auth token for each domain
[ven. févr. 23 12:04:34 CET 2018] Getting webroot for domain='my_domain.tld'
[ven. févr. 23 12:04:35 CET 2018] Getting webroot for domain='*.my_domain.tld'
[ven. févr. 23 12:04:35 CET 2018] Found domain api file: /~/.acme.sh/dnsapi/dns_cf.sh
[ven. févr. 23 12:05:09 CET 2018] Adding record
[ven. févr. 23 12:05:44 CET 2018] Added, OK
[ven. févr. 23 12:05:44 CET 2018] Found domain api file: /~/.acme.sh/dnsapi/dns_cf.sh
[ven. févr. 23 12:06:17 CET 2018] Adding record
[ven. févr. 23 12:06:33 CET 2018] Added, OK
[ven. févr. 23 12:06:33 CET 2018] Sleep 120 seconds for the txt records to take effect
[ven. févr. 23 12:08:35 CET 2018] Verifying:my_domain.tld
[ven. févr. 23 12:09:05 CET 2018] Success
[ven. févr. 23 12:09:05 CET 2018] Verifying:*.my_domain.tld
[ven. févr. 23 12:09:22 CET 2018] Success
[ven. févr. 23 12:11:30 CET 2018] Verify finished, start to sign.
[ven. févr. 23 12:11:46 CET 2018] Cert success.
[ven. févr. 23 12:11:46 CET 2018] Your cert is in /~/.acme.sh/my_domain.tld/my_domain.tld.cer
[ven. févr. 23 12:11:46 CET 2018] Your cert key is in /~/.acme.sh/my_domain.tld/my_domain.tld.key
[ven. févr. 23 12:11:46 CET 2018] The intermediate CA cert is in /~/.acme.sh/my_domain.tld/ca.cer
[ven. févr. 23 12:11:46 CET 2018] And the full chain certs is there: /~/.acme.sh/my_domain.tld/fullchain.cer
J'ai jeté un oeil et c'est pas bien compliqué.
L'API DNS de acme.sh a juste besoin d'une API key qu'il faut demander chez Gandi.
Les instructions sont données dans /~/.acme.sh/dnsapi/dns_gandi_livedns.sh
Après, tu as juste à créer ton certificat avec l'API Gandi :
acme.sh --issue -d example.com -d *.example.com --dns dns_gandi_livedns
Ensuite, ton certificat et sa clé se trouvent dans /~/.acme.sh/example.com :)
Laisse le contenu de ce dossier en place ! C'est utilisé par acme.sh
Pour le renouvellement, tu auras juste à faire une cron toute bête :
acme.sh --renew -d example.com -d *.example.com --dns dns_gandi_livedns
Si le certificat est valable encore plus de 30 jours, acme.sh refusera de le renouveler (sauf si tu utilises le paramètre --force)
Si tu as plusieurs certificats que tu veux renouveler en une fois :