Chez oim, forum libre

Débattre => Informatique, questions et interrogations, geek en devenir... => Discussion démarrée par: maximus23 le samedi 06 janvier 2018, 13:06

Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le samedi 06 janvier 2018, 13:06
Si tu vois passer les sous domaines en mode *.ndd pour let's encrypt fais moi signe c'est prévu pour début 2018.

:)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le samedi 06 janvier 2018, 13:41
J'attends ça avec impatience ! :ju:

Mais il y a quand même un souci. Dans un premier temps, ils feront uniquement de la validation DNS.
Ca veut dire qu'il faudra créer des enregistrements DNS pour que Let's Encrypt puisse valider le domaine et te signer un certificat.
Il existe bien des API pour faire ça automatiquement, mais ça me gêne d'ouvrir une porte vers mon domaine depuis le serveur. Si un gars réussi à me pirater, il pourrait se faire transférer mon nom de domaine. Je te raconte pas la catastrophe !
C'est pour ça que je ne préfère pas utiliser d'API DNS sur mon serveur. Je veux que mon domaine reste dans son coin, il est très bien sans liaison d'identification sur le serveur.

Sinon, Let's Encrypt va travailler à rendre la validation plus simple et certainement possible via des requêtes HTTP vers le domaine.
A ce moment là, ça vaudra vraiment le coup ! :if:

Sinon, t'inquiète pas, dès que Let's Encrypt offre le wildcard SSL avec validation DNS, je te dis tout ça. :if:

Tiens, ça me fait penser que le certificat chez oim devrait être renouvelé cette nuit ou la nuit prochaine, il me semble. :-\
Il va falloir que je veille un peu. :kf:
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 22 février 2018, 20:03
Bonsoir,

On reprend le sujet :)

Moi j'ai pas encore vu passer de doc pour les wilcards avec cerbot car c'est cela que j'utilise ?

Si tu as trouvé quelque chose met le lien merci.

:)



Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 22 février 2018, 20:50
Rien de tel qu'un bon vieux copier/coller de ce que je t'avais répondu tout à l'heure. :)
Il y a les liens avec. Si tu as déjà Certbot, tu as juste à le mettre à jour. Ils en sont à la V0.21.1 sortie fin janvier.

Sinon, tu réinstalles carrément et tu auras la dernière version :

Code: bash
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Si tu as cURL au lieu de Wget :

Code: bash
curl -O https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Ensuite, tu exécutes et ça se fait tout seul.


Voilà ce que je disais :

Pas la peine d'attendre le 1 mars, c'est déjà commencé.
Le script acme.sh (https://github.com/Neilpang/acme.sh) a été mis à jour pour pouvoir générer des certificats wildcard. :)
Il me semble que Certbot (https://github.com/certbot/certbot) est prêt aussi.

Mais attention ! Comme je te l'avais dit, c'est de la validation DNS.
Avec acme.sh, tu peux y arriver si tu trouves l'API qui correspond à ton registrar (https://github.com/Neilpang/acme.sh/tree/master/dnsapi) ou utilitaire serveur. Ils en proposent des dizaines.

Vivement qu'ils passent à la validation HTTP, je n'attends que ça. :gd:
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 22 février 2018, 22:18
J'ai testé tout s'est bien mis à jour mais toujours wildcard non supporté :)

Oui avec cerbot :)

Zut message coupé :)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 22 février 2018, 23:19
Utilise acme.sh, la syntaxe est à peu près la même et tu as toutes les API pour créer les enregistrements DNS automatiquement.

Pour installer acme.sh, c'est aussi simple que Certbot :

Code: bash
wget -O -  https://get.acme.sh | sh
OU

Code: bash
curl https://get.acme.sh | sh
OU ENCORE

Code: bash
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install

Ensuite, le bidule est dans le dossier ~/.acme.sh et tous les certificats seront placés dans ce dossier.
Il te restera donc à copier les certificats au bon endroit dès que tu les as.
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le vendredi 23 février 2018, 13:39
Petite rectification, acme V2 n'est pas encore tout à fait prêt. C'est prévu pour la fin du mois.
Je me suis battu toute la nuit pour avoir un wildcard sans succès, bien entendu...

Voilà ce qui est dit chez Let's Encrypt :

Anglais :
We previously communicated that we would launch ACMEv2 and wildcard certificate support on February 27th. ACMEv2 and wildcard support is nearly ready but we will be delaying the full launch in order to give our teams more time to complete testing and quality assurance activities. While we work hard to hit deadlines, we are inclined to prioritize a quality release over hitting a deadline.

The biggest reason for this delay is the recent TLS-SNI deprecation. This unexpectedly pulled most engineering resources away from ACMEv2 and wildcard support for approximately two weeks.

We introduced a public test API endpoint511 for the ACME v2 protocol and wildcard support on January 4, 2018. Thank you to everyone who has provided feedback on the staging endpoint.

We will provide updates here weekly and encourage client developers to continue to utilize the staging endpoint to prepare for ACMEv2 and wildcard issuance.



Français :
Nous avons précédemment indiqué que nous lancerions le support des certificats ACMEv2 et wildcard le 27 février. Le support d'ACMEv2 et de wildcard est presque prêt, mais nous allons retarder le lancement complet afin de donner plus de temps à nos équipes pour compléter les tests et les activités d'assurance qualité. Alors que nous travaillons dur pour respecter les délais, nous sommes enclins à prioriser une publication de qualité avant une date limite.

La principale raison de ce retard est la récente dépréciation de TLS-SNI. Cela a monopolisé de manière inattendue la plupart des ressources d'ingénierie autour du support ACMEv2 et des caractères génériques pendant environ deux semaines.
Nous avons introduit une API de test publique endpoint511 pour le protocole ACME v2 et la prise en charge des caractères génériques le 4 janvier 2018. Merci à tous ceux qui ont fourni des commentaires sur le point de terminaison de transfert.

Nous fournirons des mises à jour ici chaque semaine et encouragerons les développeurs clients à continuer d'utiliser le point de terminaison intermédiaire pour préparer l'émission de ACMEv2 et des caractères génériques.

Voilà, voilà... :iz:
Tain ! Je me suis battu toute la nuit pour rien, je viens juste d'avoir la réponse... :je:


J'ai juste réussi à avoir un certificat wildcard de test sur l'API ACME V2 provisoire et l'API DNS de Cloudflare (j'ai modifié quelques "trucs sensibles" dans les lignes qui sont justes en dessous). ;)

Code: bash
 acme.sh --issue -d my_domain.tld -d *.my_domain.tld --dns dns_cf --test
[ven. févr. 23 12:03:38 CET 2018] Using stage ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
[ven. févr. 23 12:04:02 CET 2018] Multi domain='DNS:my_domain.tld,DNS:*.my_domain.tld'
[ven. févr. 23 12:04:02 CET 2018] Getting domain auth token for each domain
[ven. févr. 23 12:04:34 CET 2018] Getting webroot for domain='my_domain.tld'
[ven. févr. 23 12:04:35 CET 2018] Getting webroot for domain='*.my_domain.tld'
[ven. févr. 23 12:04:35 CET 2018] Found domain api file: /~/.acme.sh/dnsapi/dns_cf.sh
[ven. févr. 23 12:05:09 CET 2018] Adding record
[ven. févr. 23 12:05:44 CET 2018] Added, OK
[ven. févr. 23 12:05:44 CET 2018] Found domain api file: /~/.acme.sh/dnsapi/dns_cf.sh
[ven. févr. 23 12:06:17 CET 2018] Adding record
[ven. févr. 23 12:06:33 CET 2018] Added, OK
[ven. févr. 23 12:06:33 CET 2018] Sleep 120 seconds for the txt records to take effect
[ven. févr. 23 12:08:35 CET 2018] Verifying:my_domain.tld
[ven. févr. 23 12:09:05 CET 2018] Success
[ven. févr. 23 12:09:05 CET 2018] Verifying:*.my_domain.tld
[ven. févr. 23 12:09:22 CET 2018] Success
[ven. févr. 23 12:11:30 CET 2018] Verify finished, start to sign.
[ven. févr. 23 12:11:46 CET 2018] Cert success.
[ven. févr. 23 12:11:46 CET 2018] Your cert is in  /~/.acme.sh/my_domain.tld/my_domain.tld.cer 
[ven. févr. 23 12:11:46 CET 2018] Your cert key is in  /~/.acme.sh/my_domain.tld/my_domain.tld.key 
[ven. févr. 23 12:11:46 CET 2018] The intermediate CA cert is in  /~/.acme.sh/my_domain.tld/ca.cer 
[ven. févr. 23 12:11:46 CET 2018] And the full chain certs is there:  /~/.acme.sh/my_domain.tld/fullchain.cer
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le vendredi 23 février 2018, 18:56
Bonjour,

Oui le certificat de tests avec l'API lui je savais qu'il fonctionnait mais pour le reste comme toi j'ai fait pleins de tests pour rien tout compte fait.

Un truc provisoire ne m'intéresse pas de suite car j'ai rien de plus pour le moment donc on va encore attendre un peu et voir l'évolution de la bête :)

Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le vendredi 23 février 2018, 20:06
La semaine prochaine, ça devrait être bon. ;)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le vendredi 02 mars 2018, 20:31
Rooooh la la la la la la la la ! Le Wildcard n'est pas encore prêt ! :gk:

Je viens de poser la question sur le forum LetsEncrypt, il faut encore attendre... :(
Tu me diras, je préfère une sortie retardée qui marche bien et sans aucun défaut plutôt que le respect du calendrier et un truc qui déconne à tout va, comme Microsoft sait si bien faire, par exemple (Millenium, Vista, 8 ).

Patience ! De toute façon, j'ai une cron qui teste le sous domaine prévu pour le wildcard et je serai prévenu dès qu'il est dispo.
J'ai aussi une autre cron pour détecter les mises à jour de acme.sh & Crypt::LE, mais bon. C'est ma cuisine à moi.


Sinon, les peurs que j'avais au début vis à vis de mon domaine et des API DNS ne sont pas fondées.
Il me suffit simplement de créer un utilisateur distant qui n'a accès qu'aux seuls enregistrements TXT du domaine chez-oim.org et c'est tout.
L'utilisateur distant créé ne peut rien modifier d'autre que les enregistrements TXT du domaine. Pas possible de créer une boite mail, un site, une base, bref ! Rien sauf du TXT !
Les risques que je craignais n'existent donc pas. :)

Mais bon, ça, c'est à voir avec la config serveur ou le registrar de chacun.

Avec CertBot, il faut suivre la progression de l'utilitaire sur le site de LetsEncrypt (https://community.letsencrypt.org/t/certbot-acmev2-wildcard-support/54265).
Sinon, il suffit d'installer l'outil acme.sh (https://github.com/Neilpang/acme.sh#1-how-to-install) avec toutes ses API DNS et ça roule. C'est la même syntaxe que Certbot à l'utilisation.
Il est recommandé de procéder en ROOT, mais ce n'est pas une obligation.


ATTENTION !

Il est possible de tester le Wilcard par le biais de fakes certificats (des certificats qui ne sont pas valides pour une utilisation par un navigateur qui les rejettera en bloc).
Mais des limites sont imposées par LetsEncrypt ! Elles sont larges, mais il faut les connaitre. De toute façon, LetsEncrypt impose aussi des limites en temps normal. Personne ne le sait, mais c'est le cas.


Voici ces limites : (Pour tests ACME v2 avec des Fakes certificats uniquement !)
Pour les limites en temps normal, avec des certificats réels, consulter le site de LetsEncrypt (https://letsencrypt.org/) (en Anglais).

Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le dimanche 04 mars 2018, 08:36
Bonjour,

Quelques infos peut-être fin de ce mois :)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le dimanche 04 mars 2018, 11:04
A cette heure, on ne sait pas trop quand ça va sortir.

LetsEncrypt disait le 27 février 2018 : "Il n'y a aucun problème majeur connu avec le point de terminaison de test ACMEv2 / wildcard. Les tests de qualité ACMEv2 et wildcard se poursuivent. Aucune date de sortie à annoncer pour le moment."
Il n'existe aucune todo list, pas de calendrier même simplement indicatif, pas d'idées sur les problèmes rencontrés, etc. :iz:

La seule chose qu'on sache, c'est qu'ils ont du tout reprendre à cause de la dépréciation de TLS-SNI qui est arrivée comme un cheveu sur la soupe en début d'année.

Mais bon, on va pas râler non plus. C'est quand même une histoire de certificats de sécurité gratuits et c'est pas rien.
Acheter un certificat wildcard coute la peau du cul ! O0

Je ne crois pas que j'ai donné ce lien, ça parle du retard : (En anglais)
ACMEv2 and Wildcard Launch Delay (https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le samedi 10 mars 2018, 16:51
Nouvelle info du 5 mars 2018 :

Les tests continuent.
Nous avons trouvé et corrigé au moins un problème majeur avec le support de ACMEv2 et avons apporté un certain nombre d'améliorations depuis la dernière mise à jour.
Aucune date de sortie pour le moment, mais nous nous rapprochons du but. Merci pour votre patience.


Voilà, voilà. Patience, ça arrive ! :ig:
En attendant, le certificat de chez-oim.org a été renouvelé et ce n'est pas un wildcard. Mais ce n'est pas grave, il n'y pas le feu. :)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le mardi 13 mars 2018, 18:39
Ca y est, ACMEv2 est disponible et, avec lui, les certificats Wildcard Lets Encrypt ! :gq:

Un certificat wildcard vient d'être créé pour ce site et tout s'est très bien passé. :)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: JCFM le mardi 13 mars 2018, 19:03
Ca y est, ACMEv2 est disponible et, avec lui, les certificats Wildcard Lets Encrypt ! :gq:

Un certificat wildcard vient d'être créé pour ce site et tout s'est très bien passé. :)

Tu es content ..........................cela te coûte combien ?
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le mardi 13 mars 2018, 19:16
Le gros avantage de Lets Encrypt, c'est qu'ils délivrent des certificats de sécurité gratuits. ;)

Et maintenant qu'ils délivrent du wildcard, ça va faire foutrement baisser le chiffre d'affaire de certains vendeurs. ::)
Parce-que mine de rien, un certificat wildcard, c'était tout sauf donné !
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le mercredi 14 mars 2018, 19:24
Bonsoir,

Comme j'ai pas trop le temps de suivre l'évolution des news en perspective ?

Sur certains sites Américains pour fin de ce mois si tout va bien mais rien grand chose de concret on dirait plus des brèves de comptoir qu'autre chose  ^-^
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le mercredi 14 mars 2018, 19:55
Mais quelle évolution ? Ca y est, c'est fait depuis hier. Tu peux arrêter de chercher des infos, c'est officiel. :)
Pour avoir des infos fiables et véridiques, il suffit simplement de regarder sur le site de Lets Encrypt (https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654). ;)

Le protocole ACMEv2 est fonctionnel. Ils est donc possible d'obtenir un certificat de sécurité Wildcard auprès de Lets Encrypt.
Que dire de plus ? :iq:


Lets Encrypt a déclaré hier :
La prise en charge du protocole ACMEv2 et des certificats wildcard est disponible. Merci pour votre patience !


Regarde le certificat de chez-oim.org (https://crt.sh/?id=354431409), tu verras que c'est un  wildcard. ;)

(https://static.chez-oim.org/uploads/member_1/stock1/1521053718.png)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 15 mars 2018, 03:30
Bonjour,

Je n'ai pas approfondi la chose : The currently selected ACME CA endpoint does not support issuing wildcard certificates.

:)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 15 mars 2018, 08:24
Oui, j'ai vu que tu as créé 2 certificats non wildcard dans la nuit.

J'imagine que tu utilises Certbot. Dans ce cas, il te faut la version 0.22 minimum.
Attention ! C'est de la validation DNS, je le répète ! Tu peux oublier le chemin /.well-known/acme-challenge/ de la validation HTTP.

Le problème de Certbot, c'est qu'il propose peu d'APIs DNS. Ce qui oblige à créer les enregistrements DNS manuellement.
C'est pour ça que je conseille d'utiliser acme.sh qui propose plus de 40 APIs DNS des registrars les plus répandus et permet donc d'obtenir un certificat entièrement en automatique, c'est quand même plus simple surtout pour le renouvellement.

Page affichant la liste de tous les clients compatibles ACMEv2 (https://letsencrypt.org/docs/client-options/#acme-v2-compatible-clients).
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 15 mars 2018, 14:30
Bonjour,

Ok mais tu dois mettre une validation de zone txt dns pour chaque domaine ?

:)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 15 mars 2018, 19:47
Oui, c'est ça.
Vu qu'il y a le domaine.tld et *.domaine.tld, ça fait 2 enregistrements TXT.

Si tu n'as pas trouvé l'API pour ton registrar, tu peux toujours basculer ta zone DNS chez Cloudflare. C'est gratuit. :iq:
Sinon tu prends la documentation Certbot pour récupérer ce qu'il veut et modifier la zone DNS dans Bind avec un script.
Parce-que faire des copier/coller pour créer des enregistrements TXT tous les 3 mois, ça peut rapidement devenir pénible. :gd:
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 15 mars 2018, 19:52
Bonsoir,

Et la validation txt est valable combien de temps car il faut une propagation aussi ?

Cela me semble assez pénible pour le moment j'espère qu'ils vont faire comme avant pour le wildcard ou cela se faisait tout seul.

:)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 15 mars 2018, 20:06
C'est rapide. En quelques secondes les enregistrements sont dispos (le délai pas défaut de acme.sh est de 2 minutes).
Lets Encrypt ne va pas attendre de propagation pendant 40 ans et va questionner les DNS les plus proches du domaine. C'est les DNS présents dans le registre whois.

La validation HTTP, je ne sais pas si c'est prévu. Dans leur annonce, Lets Encrypt dis que tout le monde va basculer vers ACMEv2 (https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579) et évoque l'abandon de ACMEv1 sans donner de date, mais ils ne parlent pas de validation HTTP pour le wildcard.

Replie toi donc sur acme.sh, ça m'étonnerait que tu ne trouves pas l'API DNS qui va bien.
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 15 mars 2018, 20:18
Non cela fonctionne mais il me demande une validation Cname TXT donc c'était juste pour voir si c'était bien la bonne procédure et qu'il n'y en avait pas d'autres plus simple. Pour mettre un Zone name chez gandi il faut alors être super speed et c'est pas évident dans leur nouvelle interface.

Bon je testerai un domaine qui ne me sert pas comme test comme cela si cela plante ben pas grave mais je me demande si le cname text n'est pas commun à tout les domaines.

:)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 15 mars 2018, 20:30
Attention ! C'est des enregistrements TXT, pas CNAME !

Si le domaine est example.com, on te demandera :
2 enregistrements TXT pour _acme-challenge.example.com

Sinon, bascule un domaine sur les DNS de Cloudflare pour essayer l'API. Tu peux même aller chercher un domaine bidon chez Freenom (http://www.freenom.com/fr/index.html?lang=fr).
Il faut le faire en automatique, sinon tu vas t'arracher les cheveux. J'ai aussi essayé avec Cloudflare pour préparer un tuto et ça marche bien.

Tu as le temps de le faire à la main, mais c'est la grosse prise de tête. Il faut le faire en auto.
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le jeudi 15 mars 2018, 20:53
Oui c'est en Zone Txt autant pour moi mais tu ne penses tout de même pas que je vais leur sacrifier mes trois derniers cheveux pfff... non mais  :iz:  ^-^

Bon je vais attendre ta procédure pour voir comment tu récupère ces foutus textes et les réinjectes dans les Zones de Txt en mode automatique car là rien que d'y penser j'ai vraiment pas envie de le faire.

Il doit bien exister un truc sinon ce ne sera pas tenable de plus si t'oublies ben paf plus de certificats valides car pas moyen de mettre un cron....  :iz:

Je préfère encore mettre ma liste en auto avec mes sous domaines la au moins pas de soucis....un bash avec un cron et terminé.

:)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le jeudi 15 mars 2018, 21:12
Fais gaffe, le tuto que je vais faire concernera acme.sh et Cloudflare.
Je suis prêt à parier que beaucoup de webmasters vont confier la gestion DNS de leur domaine à Cloudflare pour avoir un certificat wildcard alors que c'est impossible avec leur hébergeur/registrar.
De toute façon, quand c'est compris pour Cloudflare, ça va tout seul pour les autres.

Perso, je ne récupère rien du tout pour le réinjecter. C'est acme.sh et l'API DNS qui font le boulot.
J'ai aussi une cron qui tourne pour le renouvellement. Sinon ce serait pas la peine, je n'aurais jamais pris de wildcard.

Bon, ici c'est pas Cloudflare, mais c'est pareil, une API est utilisée pour faire le boulot.
Regarde ici si tu ne trouves pas l'API qui pourrait faire ton bonheur : APIs DNS disponibles pour acme.sh (https://github.com/Neilpang/acme.sh/tree/master/dnsapi) (il y en a 40 dont une pour Gandi).

Ils donnent même des tuyaux pour créer une API custom. ;)
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le vendredi 16 mars 2018, 12:39
Bonjour,

Oui pour Gandi je sais mais quand je vois toute la doc que je dois me taper là je dois dire que pour le moment j'ai pas trop envie de le faire.

Merci pour les infos.

:)


Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le vendredi 16 mars 2018, 13:23
J'ai jeté un oeil et c'est pas bien compliqué.
L'API DNS de acme.sh a juste besoin d'une API key qu'il faut demander chez Gandi.
Les instructions sont données dans /~/.acme.sh/dnsapi/dns_gandi_livedns.sh

Après, tu as juste à créer ton certificat avec l'API Gandi :
Code: bash
acme.sh --issue -d example.com -d *.example.com --dns dns_gandi_livedns
Ensuite, ton certificat et sa clé se trouvent dans /~/.acme.sh/example.com :)
Laisse le contenu de ce dossier en place ! C'est utilisé par acme.sh

Pour le renouvellement, tu auras juste à faire une cron toute bête :
Code: bash
acme.sh --renew -d example.com -d *.example.com --dns dns_gandi_livedns
Si le certificat est valable encore plus de 30 jours, acme.sh refusera de le renouveler (sauf si tu utilises le paramètre --force)

Si tu as plusieurs certificats que tu veux renouveler en une fois :
Code: bash
acme.sh --renewAll
Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: maximus23 le vendredi 16 mars 2018, 18:15
Ok mais comme j'ai des DNS externes cela ne sera pas aussi simple :)

Titre: Le wildcard LetsEncrypt, c'est pour quand ?
Posté par: alex le vendredi 16 mars 2018, 21:13
Ben oui, je sais. Tu utilises Bind sur ta machine.

Il te reste deux solutions, revenir chez Gandi ou allez chez Cloudflare. :iq:
En même temps, ça soulagerait ton matériel qui n'aurait plus à s'occuper des requêtes DNS.