Ci-dessous, les différences entre deux révisions de la page.
Both sides previous revision Révision précédente Prochaine révision | Révision précédente Prochaine révision Both sides next revision | ||
si:acme-dns [2018/12/25 17:28] pitchum [Certificat Wildcard avec dehydrated] |
si:acme-dns [2018/12/25 17:36] pitchum [Configurer Bind pour les mises à jour dynamiques] |
||
---|---|---|---|
Ligne 55: | Ligne 55: | ||
Dans le fichier ///etc/bind/named.conf.local// déclarer cette nouvelle zone et inclure le fichier de la clef secrète : | Dans le fichier ///etc/bind/named.conf.local// déclarer cette nouvelle zone et inclure le fichier de la clef secrète : | ||
- | <code> | + | <file /etc/bind/named.conf.local.sample> |
include "/etc/bind/rndc-acme.key"; | include "/etc/bind/rndc-acme.key"; | ||
zone "_acme-challenge.parinux.org" { | zone "_acme-challenge.parinux.org" { | ||
Ligne 63: | Ligne 63: | ||
allow-update { key "rndc-acme"; }; | allow-update { key "rndc-acme"; }; | ||
}; | }; | ||
- | </code> | + | </file> |
Il faut maintenant peupler un minimum cette zone dynamique (un SOA et un NS). Créer le fichier ///var/cache/bind/_acme-challenge.parinux.org.zone// comme ceci : | Il faut maintenant peupler un minimum cette zone dynamique (un SOA et un NS). Créer le fichier ///var/cache/bind/_acme-challenge.parinux.org.zone// comme ceci : | ||
- | <code> | + | <file /var/cache/bind/_acme-challenge.parinux.org.zone> |
_acme-challenge.parinux.org. IN SOA troll4.parinux.org. admin.parinux.org. ( | _acme-challenge.parinux.org. IN SOA troll4.parinux.org. admin.parinux.org. ( | ||
2018112200 | 2018112200 | ||
Ligne 76: | Ligne 76: | ||
) | ) | ||
NS troll4.parinux.org. | NS troll4.parinux.org. | ||
- | </code> | + | </file> |
Permettre à Bind de modifier ce fichier : | Permettre à Bind de modifier ce fichier : | ||
Ligne 96: | Ligne 96: | ||
EOF | EOF | ||
</code> | </code> | ||
+ | |||
Puis | Puis | ||
Ligne 165: | Ligne 166: | ||
</file> | </file> | ||
+ | Il faut rendre ce script exécutable : | ||
+ | |||
+ | <code>sudo chmod +x /etc/dehydrated/hook-custom.sh</code> | ||
+ | |||
+ | On indique le ou les domaines qu’on souhaite dans ///etc/dehydrated/domains.txt// : | ||
+ | |||
+ | <file /etc/dehydrated/domains.txt> | ||
+ | parinux.org *.parinux.org | ||
+ | </file> | ||
+ | |||
+ | La première fois : | ||
+ | |||
+ | dehydrated --register --accept-terms | ||
+ | |||
+ | Puis on génère ou régénère les certificats : | ||
+ | |||
+ | dehydrated -c | ||
+ | |||
+ | Si tout s'est bien passé, alors pour peut générer un vrai certificat cette fois en supprimant le fichier ///etc/dehydrated/conf.d/staging.sh// : | ||
+ | |||
+ | <code> | ||
+ | rm /etc/dehydrated/conf.d/staging.sh | ||
+ | dehydrated --register --accept-terms | ||
+ | dehydrated -c | ||
+ | </code> | ||
+ | |||
+ | Il faut maintenant créer une tâche cron pour renouveler le certificat automatiquement. | ||
+ | On créé le fichier ///etc/cron.weekly/acme-renew// suivant : | ||
+ | |||
+ | <file /etc/cron.weekly/acme-renew> | ||
+ | #! /bin/bash | ||
+ | /usr/bin/dehydrated -c | ||
+ | </file> | ||
+ | |||
+ | Et on le rend exécutable : | ||
+ | |||
+ | <code>chmod +x /etc/cron.weekly/acme-renew</code> |