3,054
edits
Changes
Jump to navigation
Jump to search
Line 275:
Line 275: − ===Configuration manuelle de « Dehydrated »=== − − Vous devrez créer deux fichiers de configuration pour « Dehydrated ». − cd /etc/dehydrated − mkdir -p /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge − nano -w domains.txt − − Dans ce fichier, vous ajouterez chaque nom d'hôte que vous voulez que votre certificat couvre, tous sur une seule ligne. Cela ressemblera à ceci : − domain1.com www.domain1.com mail.domain1.com domain2.net www.domain2.net domain3.org ftp.domain3.org − Ctrl-X pour quitter, Y pour sauvegarder. − − En second, vous devrez créer le fichier de configuration '''config''' : − nano -w config − − Cela devrait ressembler à : − #!/bin/bash − # config − # CA="https://acme-staging.api.letsencrypt.org/directory" − WELLKNOWN="/home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge" − HOOK="/usr/local/bin/dehydrated-hook" − # E-mail to use during the registration (default: <unset>) − CONTACT_EMAIL="admin@yourdomain.com" − − Ctrl-X pour quitter, Y pour sauvegarder. − − Pour les phases de test, il est recommandé de dé-commenter la troisième ligne (celle qui commence par « CA="... »). Durant les tests, aucunes demandes de certificats ne seront effectuées, mais cela n'affectera pas non plus votre nombre limite. Une fois que votre configuration sera réglée, vous pourrez dé-commenter cette ligne et relancer « dehydrated ». − − Vous devrez créer un script « hook » personnalisé pour configurer correctement la base de données de configuration et déclencher le rechargement de vos services système lors de l'émission ou du renouvellement d'un certificat. − − nano /usr/local/bin/dehydrated-hook − − Son contenu devrait ressembler à : − #!/bin/bash − − if [ $1 = "deploy_cert" ]; then − KEY=$3 − CERT=$4 − CHAIN=$6 − /sbin/e-smith/db configuration setprop modSSL key $KEY − /sbin/e-smith/db configuration setprop modSSL crt $CERT − /sbin/e-smith/db configuration setprop modSSL CertificateChainFile $CHAIN − /sbin/e-smith/signal-event ssl-update − fi − − Ctrl-X pour quitter, Y pour sauvegarder. Ensuite, rendez-le exécutable : − chmod +x /usr/local/bin/dehydrated-hook − − Vous devrez aussi créer un fragment personnalisé de modèle pour Apache : − mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf − nano -w /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts40ACME − − Les contenus de ce fichier devrait ressembler à : − # Alias for letsencrypt − Alias /.well-known/acme-challenge /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge − A nouveau, Ctrl-X pour quitter, Y pour sauvegarder. − − Développez le modèle et redémarrez Apache : − expand-template /etc/httpd/conf/httpd.conf − service httpd-e-smith restart − − Maintenant, vous êtes prêt(e) à lancer « dehydrated » et à obtenir votre certificat. − dehydrated -c − − Le script s'exécutera pendant un moment et devrait indiquer le succès. Si c'est le cas, regardez dans /etc/dehydrated/certs/VOTRE_DOMAINE et voyez si vous y avez vos fichiers. Vous devriez voir un certain nombre de fichiers .pem, au moins un fichier .csr, et cinq liens symboliques (chain.pem, cert.csr, cert.pem, fullchain.pem et privkey.pem). Si c'est le cas, félicitations ! Vous avez réussi à obtenir votre certificat. Le script «hook» doit également avoir configuré votre serveur pour utiliser le nouveau certificat. Pour être sûr, exécutez : − config show modSSL − et assurez-vous qu'il y a des valeurs définies pour crt, key, et CertificateChainFile. − − Si « dehydrated » fonctionne avec succès en mode test mode, re-commentez la troisième ligne « CA=... » dans /etc/dehydrated/config et exécutez : − dehydrated -c -x − − pour obtenir en confiance un certificat de confiance. − − ===Renouvellement=== − Une fois exécuté, le script «dehydrated» vérifiera votre certificat existant pour voir combien de temps il est valide. Si sa durée de vie est inférieure à 30 jours (par défaut, cela peut être modifié en réglant RENEW_DAYS dans config sur autre chose que 30), le script renouvellera vos certificats. S'il reste plus de 30 jours, le script se terminera sans autre action. Tout ce qui est nécessaire est d'exécuter quotidiennement « dehydrated » : − − nano -w /etc/cron.daily/call-dehydrated − − Entrez ce qui suit dans ce fichier : − #!/bin/bash − /usr/bin/dehydrated -c − Ctrl-X pour quitter, Y pour sauvegarder. Ensuite, rendez-le exécutable : − chmod +x /etc/cron.daily/call-dehydrated − − {{warning box| type=Attention :| fin de l'installation et de la configuration manuelles de « dehydrated » sans la contribution smeserver-letsencrypt.}}
no edit summary
mv dehydrated/dehydrated /usr/local/bin/
mv dehydrated/dehydrated /usr/local/bin/
==Imposer le SSL ==
==Imposer le SSL ==