Différences entre versions de « Certbot: Challenge DNS Ikoula »
| Ligne 1 : | Ligne 1 : | ||
==Introduction== | ==Introduction== | ||
| − | Plusieurs | + | Plusieurs challenges, méthodes d'authentification sont disponibles pour demander la génération d'un certificat Let's Encrypt. A la différence des '''{{Template:Certificat SSL}}''' de chez Ikoula, ces certificat gratuit expire rapidement par conséquent il faudra automatiser le renouvellement. |
Le Challenge DNS va permettre de pouvoir demander des certificats wildcard, il faudra donc créer un enregistrement DNS avec une clef lors de processus d’obtention ou de renouvellement. | Le Challenge DNS va permettre de pouvoir demander des certificats wildcard, il faudra donc créer un enregistrement DNS avec une clef lors de processus d’obtention ou de renouvellement. | ||
==Pre-requis== | ==Pre-requis== | ||
| − | Le système sur lequel sera demandé le '''{{Template:Certificat SSL}}''' devra disposer de certbot mais aussi de quelque dépendance de base, voici les packages | + | Le système sur lequel sera demandé le '''{{Template:Certificat SSL}}''' devra disposer de certbot mais aussi de quelque dépendance de base, voici les packages nécessaires : |
* certbot | * certbot | ||
* curl | * curl | ||
* jq | * jq | ||
| − | Il faudra aussi disposer d'un utilisation avec les permissions de | + | Il faudra aussi disposer d'un utilisation/contact de l'interface client avec les permissions de modification la zone DNS, nous recommandons de créer un utilisateur spécifique avec les permissions minimales pour l'abonnement "Domain and Dns - Dns Management Only for Domain" de pouvoir : |
* Voir les détails de base | * Voir les détails de base | ||
* Manage zone: domaine.tls | * Manage zone: domaine.tls | ||
== Installation == | == Installation == | ||
| − | + | Installation des dépendances sur une base debian : | |
<pre> | <pre> | ||
| − | apt install | + | apt update && apt install -y certbot curl jq |
</pre> | </pre> | ||
| + | Installation des scripts Ikoula pour la gestion des zones DNS | ||
| + | <pre> | ||
| + | bash <(curl -s https://raw.githubusercontent.com/ikoula/certbot-dns/master/install.sh) | ||
| + | </pre> | ||
| + | La commande devra être exécuté de nouveau dans le cas où le mot de passe a été modifié. | ||
| + | |||
| + | == Utilisation == | ||
| + | Vous pourrez ensuite utiliser le certbot avec vos options habituelles, mais vous devrez avoir : | ||
| + | * --manual | ||
| + | * --preferred-challenges=dns | ||
| + | * --manual-auth-hook /usr/local/bin/ikoula-dns-auth.sh | ||
| + | * --manual-cleanup-hook /usr/local/bin/ikoula-dns-cleanup.sh | ||
| + | |||
| + | Voici un exemple : | ||
| + | <pre> | ||
| + | certbot certonly --manual -n --preferred-challenges=dns --manual-auth-hook /usr/local/bin/ikoula-dns-auth.sh --manual-cleanup-hook /usr/local/bin/ikoula-dns-cleanup.sh -d *.domaine.tld -d domaine.tld --agree-tos -m monadresse@domaine.tld --manual-public-ip-logging-ok | ||
| + | </pre> | ||
| + | Il sera recommandé d'effectué vos réglages avec un '''--dry-run''' | ||
[[Catégorie:SSL]] | [[Catégorie:SSL]] | ||
Version du 15 juin 2020 à 15:08
Introduction
Plusieurs challenges, méthodes d'authentification sont disponibles pour demander la génération d'un certificat Let's Encrypt. A la différence des certificat SSL de chez Ikoula, ces certificat gratuit expire rapidement par conséquent il faudra automatiser le renouvellement. Le Challenge DNS va permettre de pouvoir demander des certificats wildcard, il faudra donc créer un enregistrement DNS avec une clef lors de processus d’obtention ou de renouvellement.
Pre-requis
Le système sur lequel sera demandé le certificat SSL devra disposer de certbot mais aussi de quelque dépendance de base, voici les packages nécessaires :
- certbot
- curl
- jq
Il faudra aussi disposer d'un utilisation/contact de l'interface client avec les permissions de modification la zone DNS, nous recommandons de créer un utilisateur spécifique avec les permissions minimales pour l'abonnement "Domain and Dns - Dns Management Only for Domain" de pouvoir :
- Voir les détails de base
- Manage zone: domaine.tls
Installation
Installation des dépendances sur une base debian :
apt update && apt install -y certbot curl jq
Installation des scripts Ikoula pour la gestion des zones DNS
bash <(curl -s https://raw.githubusercontent.com/ikoula/certbot-dns/master/install.sh)
La commande devra être exécuté de nouveau dans le cas où le mot de passe a été modifié.
Utilisation
Vous pourrez ensuite utiliser le certbot avec vos options habituelles, mais vous devrez avoir :
- --manual
- --preferred-challenges=dns
- --manual-auth-hook /usr/local/bin/ikoula-dns-auth.sh
- --manual-cleanup-hook /usr/local/bin/ikoula-dns-cleanup.sh
Voici un exemple :
certbot certonly --manual -n --preferred-challenges=dns --manual-auth-hook /usr/local/bin/ikoula-dns-auth.sh --manual-cleanup-hook /usr/local/bin/ikoula-dns-cleanup.sh -d *.domaine.tld -d domaine.tld --agree-tos -m monadresse@domaine.tld --manual-public-ip-logging-ok
Il sera recommandé d'effectué vos réglages avec un --dry-run