This commit is contained in:
parent
58ff9a3edf
commit
ba95104a4e
GPG key ID:
EB9E679A66B8C7A1
64
content/posts/tls/dehydrated-to-certbot.md
Normal file
64
content/posts/tls/dehydrated-to-certbot.md
Normal file
|
|
@ -0,0 +1,64 @@
|
||||||
|
---
|
||||||
|
title: "De Dehydrated à Certbot"
|
||||||
|
date: 2023-04-22T23:52:19+02:00
|
||||||
|
draft: true
|
||||||
|
---
|
||||||
|
|
||||||
|
## Le commencement
|
||||||
|
|
||||||
|
J'utilisais pour générer mes certificats `x509` la solution [dehydrated](https://github.com/dehydrated-io/dehydrated) dès le premier jour ou presque de mon usage avec let's encrypt.
|
||||||
|
Du bash hyper simple pour faire le sucre nécessaire à l'obtention de certificats letsencrypt ou respectant les challenges **acme**. C'était très bien.
|
||||||
|
|
||||||
|
Le client officiel était quant à lui lourd peu modulaire avec peu d'extension. L'idée initial car nouveauté était :
|
||||||
|
|
||||||
|
> je fais tout pour toi
|
||||||
|
|
||||||
|
Je suis pas fan. Sérieusement, modifier les vhosts de mon serveur web, c'est un grand non.
|
||||||
|
Les temps ont changés, des options moins intrusive éxistent et dorénavant j'utilise la rfc2136 pour obtenir mon wildcard plutôt qu'un gros `INSERT` dans ma base PostgreSQL.
|
||||||
|
|
||||||
|
J'ai du louper des choses car régulièrement ça ne fonctionne pas bien, surement des échappements ou autre.
|
||||||
|
|
||||||
|
Je pense qu'en insistant plus j'aurais fini par trouver la solution.
|
||||||
|
Mais pourquoi ne pas essayer autre chose et (re)voir le client officiel **certbot** ?
|
||||||
|
|
||||||
|
## Certbot
|
||||||
|
|
||||||
|
La [documentation](https://eff-certbot.readthedocs.io/en/stable/using.html) utilisateur est de qualité. Passons donc à l'install.
|
||||||
|
|
||||||
|
### Install
|
||||||
|
|
||||||
|
Le client officiel *letsencrypt/acme* est en python, disponible sur PyPi. J'ai aussi besoin du plugin rfc2136, allons-y donc :
|
||||||
|
|
||||||
|
```bash
|
||||||
|
pip install certbot certbot-dns-rfc2136
|
||||||
|
```
|
||||||
|
|
||||||
|
Une liste plus grande des plugins disponibles via <https://eff-certbot.readthedocs.io/en/stable/using.html#dns-plugins>
|
||||||
|
|
||||||
|
## Migration dehydrated→certbot
|
||||||
|
|
||||||
|
Mais pourquoi migrer ? hop on part from scratch !
|
||||||
|
Oui mais alors non.
|
||||||
|
Si vous n'utilisez pas `DANE-EE` mais plutôt `PKIX-EE`, OUI ne rien migrer est une bonne idée. Bon évidemment moi j'utilise `DANE-EE` car je ne souhaite pas distribuer de manière automatique la clé privée. Peut-être un jour une autre façon de faire.
|
||||||
|
|
||||||
|
A voir
|
||||||
|
|
||||||
|
### Réimport
|
||||||
|
|
||||||
|
Les fichiers de `dehydrated` comportent des sauts de lignes que certbot ne sait pas lire.
|
||||||
|
Fixons cela:
|
||||||
|
|
||||||
|
```bash
|
||||||
|
find . -type f -name '*.pem' | xargs sed -i '/^$/d'
|
||||||
|
```
|
||||||
|
|
||||||
|
Il y a aussi une problématique sur les noms des fichiers. Il faut que ça respecte la nomenclature à savoir \<filename>XXX.\<extension> ou XXX est un chiffre.
|
||||||
|
|
||||||
|
Si vos certificats utilisent une clé ECDSA il faut spécifier ceci dans `cli.ini`
|
||||||
|
|
||||||
|
```ini
|
||||||
|
# Use ECC for the private key
|
||||||
|
key-type = ecdsa
|
||||||
|
elliptic-curve = secp384r1
|
||||||
|
```
|
||||||
|
Et voilà
|
||||||
Loading…
Reference in a new issue