3,054
edits
Changes
From SME Server
Jump to navigationJump to search
mLine 78:
Line 78: − sont configurés sur votre serveur KOOZALI SME (par exemple via le gestionnaire du serveur), et+ − sont configurés pour utiliser Let's Encrypt.+ Line 103:
Line 103: − + + + + + + Line 114:
Line 119: − + + + + Line 141:
Line 149: − Si il s'imprime uniquement "# INFO: Using main config file /etc/dehydrated/config"" et vous renvoie à l'invite du shell, voir [[Bugzilla:10300]].+ Line 154:
Line 162: − + Line 178:
Line 186: − + − + − As discussed above, dehydrated is a lightweight ACME client that's implemented as a BASH script. It has very few dependencies, and is a better fit for the "SME way" of doing things than the official certbot client. If you'd prefer to configure it manually, rather than installing the contrib described above, you may do so manually or by pulling a copy of the latest version using git.+ − + − The dehydrated script has been imported into the contribs repository and can be installed as follows:+ − The script must be configured as described below.+ − + − If you need or want the absolute latest version of the script then you can manually install as follows:+ − Begin by installing git:+ − Then download the Dehydrated client:+ − + − You'll need to create two configuration files for Dehydrated.+ − In this file, you'll list every hostname that you want your certificate to cover, all on one line. It will look like this:+ − + − Second, you'll need to create the configuration file '''config''':+ − It should look like this:+ Line 224:
Line 232: − + − For testing purposes, it's recommended that you uncomment the third line (so it begins with "CA="). Any certificates issued while testing will not be trusted, but they will also not count against your rate limits. Once your configuration is set, you can comment out that line and re-run dehydrated.+ + + − You'll need to create a custom "hook" script to set the config database up properly, and to trigger reloads of your system services when a certificate is issued or renewed. − Its contents should look like this:+ Line 244:
Line 253: − + − You'll also need to create a custom template fragment for Apache:+ − The contents of that file should look like:+ − Again, Ctrl-X to exit, Y to save.+ − Expand the template and restart apache:+ − Now you're ready to run dehydrated and get your certificate.+ − The script will run for a moment and should report success. If it does, look in /etc/dehydrated/certs/YOURDOMAIN and see if you have your files there. You should see a number of .pem files, at least one .csr file, and five symbolic links (chain.pem, cert.csr, cert.pem, fullchain.pem, and privkey.pem). If you do, congratulations! You've successfully obtained your certificate. The hook script should have also configured your server to use the new certificate. To make sure, run+ − and make sure there are values set for crt, key, and CertificateChainFile.+ − If dehydrated ran successfully in test mode, comment out the CA= line in /etc/dehydrated/config and run+ − to obtain trusted a trusted certificate.+ + + + − ===Renewal=== − When run, the dehydrated script will check your existing certificate to see how long it's valid. If it has less than 30 days' lifetime remaining (by default; this can be changed by setting RENEW_DAYS in config to something other than 30), the script will renew your certificates. If more than 30 days remain, the script will exit without further action. All that's necessary is to run dehydrated daily: − Enter the following in this file:+ − + − +
→Activer le mode production
Cette contribution permettra d'obtenir un seul certificat de Let's Encrypt. Le certificat inclura tous les domaines et noms d'hôtes qui :
Cette contribution permettra d'obtenir un seul certificat de Let's Encrypt. Le certificat inclura tous les domaines et noms d'hôtes qui :
* sont configurés sur votre serveur KOOZALI SME (par exemple via le gestionnaire du serveur), et
* sont configurés pour utiliser Let's Encrypt.
Par exemple, votre serveur KOOZALI SME peut contenir les domaines et les noms d'hôtes suivants :
Par exemple, votre serveur KOOZALI SME peut contenir les domaines et les noms d'hôtes suivants :
db hosts setprop www.domaine1.com letsencryptSSLcert enabled
db hosts setprop www.domaine1.com letsencryptSSLcert enabled
Vous pouvez obtenir un certificat pour l'un des éléments suivants: tous les domaines, tous les noms d'hôte ou tous les domaines ET les noms d'hôtes. Définissez uniquement l'un des éléments suivants.
Vous pouvez obtenir un certificat pour l'un des ensembles suivants :
* tous les domaines,
* tous les noms d'hôtes ou
* tous les domaines ET les noms d'hôtes.
Définissez uniquement l'un des ensembles suivants.
config setprop letsencrypt configure domains
config setprop letsencrypt configure domains
config setprop letsencrypt configure none
config setprop letsencrypt configure none
Avec la configuration du système décrite ci-dessus, la définition de «domaines» obtiendra un certificat couvrant domain1.com et domain2.com, mais pas www.domain1.com, etc. Le réglage sur « hosts » obtiendra un certificat couvrant www.domain1 .com, mail.domain1.com, ftp.domain1.com, etc., mais pas domain1.com ou domain2.com. Le réglage de cette propriété sur « all » inclura tous les noms de domaine et les noms d'hôtes dans le certificat. '' 'voyez [[Letsencrypt # Some_challenges_complete_successfully_but_some_hostnames_fail | NOTE]] avant de régler ceci sur « all ».' ''
Avec la configuration du système décrite ci-dessus :
* la définition de «domains» obtiendra un certificat couvrant domain1.com et domain2.com, mais pas www.domain1.com, etc. ;
* le réglage sur « hosts » obtiendra un certificat couvrant www.domain1 .com, mail.domain1.com, ftp.domain1.com, etc., mais pas domain1.com ou domain2.com ;
* le réglage de cette propriété sur « all » inclura tous les noms de domaine et les noms d'hôtes dans le certificat. '' 'voyez [[Letsencrypt # Some_challenges_complete_successfully_but_some_hostnames_fail | NOTE]] avant de régler ceci sur « all ».' ''
====Autres paramètres de configuration ====
====Autres paramètres de configuration ====
dehydrated -c
dehydrated -c
S'il s'imprime uniquement "# INFO: Using main config file /etc/dehydrated/config"" et vous renvoie à l'invite du shell, voir [[Bugzilla:10300]].
Si cela fonctionne sans erreur, essayez de vous connecter à la page du gestionnaire de votre serveur. Vous devriez voir une erreur indiquant que le certificat de sécurité n'a pas été émis par une autorité de certification approuvée. c'est parfaitement normal. Cependant, il devrait y avoir un certificat, il devrait inclure tous les noms d'hôte que vous vouliez inclure, et il devrait être valide pour les quatre-vingt-dix prochains jours. Si cela a réussi, passez à la production.
Si cela fonctionne sans erreur, essayez de vous connecter à la page du gestionnaire de votre serveur. Vous devriez voir une erreur indiquant que le certificat de sécurité n'a pas été émis par une autorité de certification approuvée. c'est parfaitement normal. Cependant, il devrait y avoir un certificat, il devrait inclure tous les noms d'hôte que vous vouliez inclure, et il devrait être valide pour les quatre-vingt-dix prochains jours. Si cela a réussi, passez à la production.
dehydrated -c -x
dehydrated -c -x
L'indicateur -x ici est nécessaire pour forcer la déshydratation à obtenir un nouveau certificat, même si vous avez un certificat existant qui est valide pendant plus de 30 jours.
L'indicateur -x ici est nécessaire pour forcer «dehydrated» à obtenir un nouveau certificat, même si vous avez un certificat existant qui est valide pendant plus de 30 jours.
Si cette commande a réussi, félicitations ! Vous avez réussi à obtenir un certificat TLS de confiance et valide, qui se renouvellera automatiquement à perpétuité.
Si cette commande a réussi, félicitations ! Vous avez réussi à obtenir un certificat TLS de confiance et valide, qui se renouvellera automatiquement à perpétuité.
dehydrated -c -x
dehydrated -c -x
==Installation manuellle de « Dehydrated »==
==Installation manuelle de « Dehydrated »==
{{warning box| type=Attention :| les éléments suivants ne doivent pas être exécutés si vous avez installé le paquet de la contribution smeserver-letsencrypt car cela a déjà été géré par la contribution.}}
{{warning box| type=Attention :| les éléments suivants ne doivent pas être exécutés si vous avez installé le paquet de la contribution smeserver-letsencrypt car cela est déjà géré par la contribution.}}
Comme exposé ci-dessus, «dehydrated» est un client ACME léger qui est implémenté en tant que script BASH. Il a très peu de dépendances, et il est mieux adapté pour la «façon de faire de KOOZALI» que le client officiel de certbot. Si vous préférez le configurer manuellement, plutôt que d'installer la contribution décrite ci-dessus, vous pouvez le faire manuellement ou à partir d'une copie de la dernière version en utilisant git.
===Install of Dehydrated rpm from smecontrib repository===
=== Installation du paquet «dehydrated» à partir du dépôt smecontrib ===
Le script déshydraté a été importé dans le dépôt contribs et peut être installé comme suit :
yum --enablerepo=smecontribs install dehydrated
yum --enablerepo=smecontribs install dehydrated
Le script doit être configuré comme décrit ci-dessous.
===Git install of latest version===
===Installation de la dernière version de git===
Si vous avez besoin ou si vous voulez la toute dernière version du script, vous pouvez l'installer manuellement comme suit :
Commencez en installant git :
yum install git
yum install git
Téléchargez ensuite le client «Dehydrated» :
cd /etc
cd /etc
git clone https://github.com/lukas2511/dehydrated
git clone https://github.com/lukas2511/dehydrated
mv dehydrated/dehydrated /usr/local/bin/
mv dehydrated/dehydrated /usr/local/bin/
===Manual Configuration of Dehydrated===
===Configuration manuelle de «Dehydrated»===
Vous devrez créer deux fichiers de configuration pour «Dehydrated».
cd /etc/dehydrated
cd /etc/dehydrated
mkdir -p /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge
mkdir -p /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge
nano -w domains.txt
nano -w domains.txt
Dans ce fichier, vous ajouterez chaque nom d'hôte que vous voulez que votre certificat couvre, tous sur une seule ligne. Cela ressemblera à ceci :
domain1.com www.domain1.com mail.domain1.com domain2.net www.domain2.net domain3.org ftp.domain3.org
domain1.com www.domain1.com mail.domain1.com domain2.net www.domain2.net domain3.org ftp.domain3.org
Ctrl-X to exit, Y to save.
Ctrl-X pour quitter, Y pour sauvegarder.
En second, vous devrez créer le fichier de configuration '''config''' :
nano -w config
nano -w config
Cela devrait ressembler à :
#!/bin/bash
#!/bin/bash
# config
# config
CONTACT_EMAIL="admin@yourdomain.com"
CONTACT_EMAIL="admin@yourdomain.com"
Ctrl-X to exit, Y to save.
Ctrl-X pour quitter, Y pour sauvegarder.
Pour les phases de test, il est recommandé de dé-commenter la troisième ligne (celle qui commence par «CA="...»). Durant les tests, aucunes demandes de certificats ne seront effectuées, mais cela n'affectera pas non plus votre nombre limite. Une fois que votre configuration sera réglée, vous pourrez dé-commenter cette ligne et relancer «dehydrated».
Vous devrez créer un script «hook» personnalisé pour configurer correctement la base de données de configuration et déclencher le rechargement de vos services système lors de l'émission ou du renouvellement d'un certificat.
nano /usr/local/bin/dehydrated-hook
nano /usr/local/bin/dehydrated-hook
Son contenu devrait ressembler à :
#!/bin/bash
#!/bin/bash
fi
fi
Ctrl-X to exit, Y to save. Then make it executable:
Ctrl-X pour quitter, Y pour sauvegarder. Ensuite, rendez-le exécutable :
chmod +x /usr/local/bin/dehydrated-hook
chmod +x /usr/local/bin/dehydrated-hook
Vous devrez aussi créer un fragment personnalisé de modèle pour Apache :
mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf
mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf
nano -w /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts40ACME
nano -w /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts40ACME
Les contenus de ce fichier devrait ressembler à :
# Alias for letsencrypt
# Alias for letsencrypt
Alias /.well-known/acme-challenge /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge
Alias /.well-known/acme-challenge /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge
A nouveau, Ctrl-X pour quitter, Y pour sauvegarder.
Développez le modèle et redémarrez Apache :
expand-template /etc/httpd/conf/httpd.conf
expand-template /etc/httpd/conf/httpd.conf
service httpd-e-smith restart
service httpd-e-smith restart
Maintenant, vous êtes prêt(e) à lancer «dehydrated» et à obtenir votre certificat.
dehydrated -c
dehydrated -c
Le script s'exécutera pendant un moment et devrait indiquer le succès. Si c'est le cas, regardez dans /etc/dehydrated/certs/VOTRE_DOMAINE et voyez si vous y avez vos fichiers. Vous devriez voir un certain nombre de fichiers .pem, au moins un fichier .csr, et cinq liens symboliques (chain.pem, cert.csr, cert.pem, fullchain.pem et privkey.pem). Si c'est le cas, félicitations ! Vous avez réussi à obtenir votre certificat. Le script «hook» doit également avoir configuré votre serveur pour utiliser le nouveau certificat. Pour être sûr, exécutez :
config show modSSL
config show modSSL
et assurez-vous qu'il y a des valeurs définies pour crt, key, et CertificateChainFile.
Si «dehydrated» fonctionne avec succès en mode test mode, re-commentez la troisième ligne «CA=...» dans /etc/dehydrated/config et exécutez
dehydrated -c -x
dehydrated -c -x
pour obtenir en confiance un certificat de confiance.
===Renouvellement===
Une fois exécuté, le script «dehydrated» vérifiera votre certificat existant pour voir combien de temps il est valide. Si sa durée de vie est inférieure à 30 jours (par défaut, cela peut être modifié en réglant RENEW_DAYS dans config sur autre chose que 30), le script renouvellera vos certificats. S'il reste plus de 30 jours, le script se terminera sans autre action. Tout ce qui est nécessaire est d'exécuter quotidiennement «dehydrated» :
nano -w /etc/cron.daily/call-dehydrated
nano -w /etc/cron.daily/call-dehydrated
Entrez ce qui suit dans ce fichier :
#!/bin/bash
#!/bin/bash
/usr/bin/dehydrated -c
/usr/bin/dehydrated -c
Ctrl-X to exit, Y to save. Then make it executable:
Ctrl-X pour quitter, Y pour sauvegarder. Ensuite, rendez-le exécutable :
chmod +x /etc/cron.daily/call-dehydrated
chmod +x /etc/cron.daily/call-dehydrated
{{warning box| end of the manual installation and configuration of dehydrated without smeserver-letsencrypt contrib}}
{{warning box| type=Attention :| fin de l'installation et de la configuration manuelles de «dehydrated» sans la contribution smeserver-letsencrypt.}}
==Imposer le SSL ==
==Imposer le SSL ==
