Ci-dessous, les différences entre deux révisions de la page.
| Both sides previous revision Révision précédente Prochaine révision | Révision précédente | ||
|
si:acme-dns [2019/02/13 22:09] pitchum [Certificat Wildcard avec dehydrated] staging v2 pour les challenges dns-01 |
si:acme-dns [2020/03/21 08:25] (Version actuelle) pitchum [Certificat Wildcard avec dehydrated] |
||
|---|---|---|---|
| Ligne 24: | Ligne 24: | ||
| ===== Configurer Bind pour les mises à jour dynamiques ===== | ===== Configurer Bind pour les mises à jour dynamiques ===== | ||
| - | Techniquement il est possible de configurer directement la zone parinux.org pour accepter les changements dynamiques, avec la commande //nsupdate// par exemple. Mais quand on active cette option alors Bind réorganise complètement le fichier zone à sa façon illisible. Et ça c'est pénible pour les adminsys. Et puis en plus ce fichier zone ne doit plus être éditer manuellement comme l'indique la page //man nsupdate// : | + | Techniquement il est possible de configurer directement la zone parinux.org pour accepter les changements dynamiques, avec la commande //nsupdate// par exemple. Mais quand on active cette option alors Bind réorganise complètement le fichier zone à sa façon illisible. Et ça c'est pénible pour les adminsys. Et puis en plus ce fichier zone ne doit plus être édité manuellement comme l'indique la page //man nsupdate// : |
| > Zones that are under dynamic control via nsupdate or a DHCP server should not be edited by hand. Manual edits could conflict with dynamic updates and cause data to be lost. | > Zones that are under dynamic control via nsupdate or a DHCP server should not be edited by hand. Manual edits could conflict with dynamic updates and cause data to be lost. | ||
| Ligne 91: | Ligne 91: | ||
| sudo nsupdate -k /etc/bind/rndc.key <<EOF | sudo nsupdate -k /etc/bind/rndc.key <<EOF | ||
| server 127.0.0.1 | server 127.0.0.1 | ||
| - | delete _acme-challenge.parinux.org | + | update delete _acme-challenge.parinux.org |
| update add _acme-challenge.parinux.org 8000 IN TXT "coucou tout va bieng ?" | update add _acme-challenge.parinux.org 8000 IN TXT "coucou tout va bieng ?" | ||
| send | send | ||
| Ligne 144: | Ligne 144: | ||
| "deploy_challenge") | "deploy_challenge") | ||
| printf "server %s\nupdate add _acme-challenge.%s. %d in TXT \"%s\"\nsend\n" "${DNSSERVER}" "${2}" "${TTL}" "${4}" | $NSUPDATE | printf "server %s\nupdate add _acme-challenge.%s. %d in TXT \"%s\"\nsend\n" "${DNSSERVER}" "${2}" "${TTL}" "${4}" | $NSUPDATE | ||
| - | ;; | + | · |
| "clean_challenge") | "clean_challenge") | ||
| printf "server %s\nupdate delete _acme-challenge.%s. %d in TXT \"%s\"\nsend\n" "${DNSSERVER}" "${2}" "${TTL}" "${4}" | $NSUPDATE | printf "server %s\nupdate delete _acme-challenge.%s. %d in TXT \"%s\"\nsend\n" "${DNSSERVER}" "${2}" "${TTL}" "${4}" | $NSUPDATE | ||
| - | ;; | + | · |
| "deploy_cert") | "deploy_cert") | ||
| # optional: | # optional: | ||
| # /path/to/deploy_cert.sh "$@" | # /path/to/deploy_cert.sh "$@" | ||
| - | ;; | + | · |
| "unchanged_cert") | "unchanged_cert") | ||
| # do nothing for now | # do nothing for now | ||
| - | ;; | + | · |
| "startup_hook") | "startup_hook") | ||
| # do nothing for now | # do nothing for now | ||
| - | ;; | + | · |
| "exit_hook") | "exit_hook") | ||
| # do nothing for now | # do nothing for now | ||
| - | ;; | + | · |
| esac | esac | ||
| Ligne 189: | Ligne 189: | ||
| rm /etc/dehydrated/conf.d/staging.sh | rm /etc/dehydrated/conf.d/staging.sh | ||
| dehydrated --register --accept-terms | dehydrated --register --accept-terms | ||
| - | dehydrated -c | + | dehydrated -c --force # --force pour écraser le précédent certificat staging |
| </code> | </code> | ||