Ci-dessous, les différences entre deux révisions de la page.
Both sides previous revision Révision précédente Prochaine révision | Révision précédente Prochaine révision Both sides next revision | ||
si:acme-dns [2018/12/25 17:36] pitchum [Configurer Bind pour les mises à jour dynamiques] |
si:acme-dns [2021/02/24 17:46] pitchum [Certificat Wildcard avec dehydrated] |
||
---|---|---|---|
Ligne 24: | Ligne 24: | ||
===== Configurer Bind pour les mises à jour dynamiques ===== | ===== Configurer Bind pour les mises à jour dynamiques ===== | ||
- | Techniquement il est possible de configurer directement la zone parinux.org pour accepter les changements dynamiques, avec la commande //nsupdate// par exemple. Mais quand on active cette option alors Bind réorganise complètement le fichier zone à sa façon illisible. Et ça c'est pénible pour les adminsys. Et puis en plus ce fichier zone ne doit plus être éditer manuellement comme l'indique la page //man nsupdate// : | + | Techniquement il est possible de configurer directement la zone parinux.org pour accepter les changements dynamiques, avec la commande //nsupdate// par exemple. Mais quand on active cette option alors Bind réorganise complètement le fichier zone à sa façon illisible. Et ça c'est pénible pour les adminsys. Et puis en plus ce fichier zone ne doit plus être édité manuellement comme l'indique la page //man nsupdate// : |
> Zones that are under dynamic control via nsupdate or a DHCP server should not be edited by hand. Manual edits could conflict with dynamic updates and cause data to be lost. | > Zones that are under dynamic control via nsupdate or a DHCP server should not be edited by hand. Manual edits could conflict with dynamic updates and cause data to be lost. | ||
Ligne 91: | Ligne 91: | ||
sudo nsupdate -k /etc/bind/rndc.key <<EOF | sudo nsupdate -k /etc/bind/rndc.key <<EOF | ||
server 127.0.0.1 | server 127.0.0.1 | ||
- | delete _acme-challenge.parinux.org | + | update delete _acme-challenge.parinux.org |
update add _acme-challenge.parinux.org 8000 IN TXT "coucou tout va bieng ?" | update add _acme-challenge.parinux.org 8000 IN TXT "coucou tout va bieng ?" | ||
send | send | ||
Ligne 119: | Ligne 119: | ||
Temporairement, le temps de tester la configuration on va utiliser le serveur ACME de staging. | Temporairement, le temps de tester la configuration on va utiliser le serveur ACME de staging. | ||
- | <code>echo 'CA="https://acme-staging.api.letsencrypt.org/directory"' | sudo tee /etc/dehydrated/conf.d/staging.sh</code> | + | <code>echo 'CA="https://acme-staging-v02.api.letsencrypt.org/directory"' | sudo tee /etc/dehydrated/conf.d/staging.sh</code> |
- | On configure dehydrated pour faire de la validation DNS-01 dans le fichier ///etc/dehydrated/conf.d/auth-dns.conf// : | + | On configure dehydrated pour faire de la validation DNS-01 dans le fichier ///etc/dehydrated/conf.d/auth-dns.sh// : |
- | <file> | + | <file /etc/dehydrated/conf.d/auth-dns.sh> |
CHALLENGETYPE="dns-01" | CHALLENGETYPE="dns-01" | ||
HOOK=/etc/dehydrated/hook-custom.sh | HOOK=/etc/dehydrated/hook-custom.sh | ||
Ligne 150: | Ligne 150: | ||
"deploy_cert") | "deploy_cert") | ||
# optional: | # optional: | ||
- | # /path/to/deploy_cert.sh "$@" | + | at /var/lib/dehydrated/certs/parinux.org/fullchain.pem /var/lib/dehydrated/certs/parinux.org/privkey.pem > /etc/ejabberd/parinux.org.ejabberd.pem |
+ | sudo -u ejabberd ejabberdctl reload_config | ||
;; | ;; | ||
"unchanged_cert") | "unchanged_cert") | ||
Ligne 178: | Ligne 180: | ||
La première fois : | La première fois : | ||
- | dehydrated --register --accept-terms | + | <code bash>dehydrated --register --accept-terms</code> |
Puis on génère ou régénère les certificats : | Puis on génère ou régénère les certificats : | ||
- | dehydrated -c | + | <code bash>dehydrated -c</code> |
Si tout s'est bien passé, alors pour peut générer un vrai certificat cette fois en supprimant le fichier ///etc/dehydrated/conf.d/staging.sh// : | Si tout s'est bien passé, alors pour peut générer un vrai certificat cette fois en supprimant le fichier ///etc/dehydrated/conf.d/staging.sh// : | ||
Ligne 189: | Ligne 191: | ||
rm /etc/dehydrated/conf.d/staging.sh | rm /etc/dehydrated/conf.d/staging.sh | ||
dehydrated --register --accept-terms | dehydrated --register --accept-terms | ||
- | dehydrated -c | + | dehydrated -c --force # --force pour écraser le précédent certificat staging |
</code> | </code> | ||