Certificats Letsencrypt via DNS

La création de certificats Letsencrypt se fait traditionnellement par authentification HTTP en utilisant le client certbot de l'EFF et ça permet de couvrir la plupart des besoins. Mais il est également possible de créer des certificats Letsencrypt par authentification DNS pour des cas d'usages moins simples et surtout c'est le seul moyen actuellement d'obtenir des certificats Wildcard.

Pour les besoins du service XMPP c'est un certificat Wildcard qui a été créé en utilisant le client dehydrated.

Ici j'explique ce qui a été fait pour mettre cela en place la première fois afin de pouvoir reproduire la démarche ailleurs. Les fichiers de configuration et autres scripts présentés ici ne correspondent plus forcément à la réalité au moment où vous lisez ces lignes, et c'est pas grave hein.

Le principe du fonctionnement de la validation est similaire que l’on passe par validation DNS-01 ou validation HTTP-01 :

• votre client ACME (certbot, dehydrated, autre) contacte le serveur CA ACME
• le serveur ACME lui retourne une chaine de caractères générée pour l’occasion
• le client ACME rend alors cette chaine de caractères publique :
  • soit à une URL http://ledomaine.net/.well-known/acme-challenge dans le cas d’une validation HTTP-01
  • soit dans un enregistrement DNS de type TXT *_acme-challenge.ledomaine.net* dans le cas d’une validation par DNS-01
• le client ACME prévient le serveur ACME que ça a été publié
• le serveur ACME est désormais sûr qu’il avait affaire à quelqu’un de légitime valide alors le requête, génère le certificat demandé initialement et le transmet au client ACME

Il faut donc pouvoir publier un enregistrement DNS de type TXT sur nos serveurs Bind (en fait sur un seul ça suffit).