Outils pour utilisateurs

Outils du site


nethserver_101_cahier_04_local_certificat_let_encrypt

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
nethserver_101_cahier_04_local_certificat_let_encrypt [2019-08-05 12:59]
michelandre
nethserver_101_cahier_04_local_certificat_let_encrypt [2019-10-02 23:17] (Version actuelle)
michelandre
Ligne 1: Ligne 1:
-====== NethServer-101, Cahier-04: NethServer LOCAL & Certificat Let's Encrypt ====== +\\  
- +[[cours_nethserver_101|{{ Images_Cahier-101-04-000.png?​650 }}]] 
-===== Description générale =====+\\  
 +====== Description générale ​======
  
-==== Introduction ====+===== Introduction ​=====
  
 Le **Cahier-04** du cours **NethServer-101** décrit la marche à suivre pour installer gratuitement,​ sur un serveur LOCAL, un certificat **Let'​sEncrypt**. Le **Cahier-04** du cours **NethServer-101** décrit la marche à suivre pour installer gratuitement,​ sur un serveur LOCAL, un certificat **Let'​sEncrypt**.
Ligne 9: Ligne 10:
 Un certificat émis par l'​autorité de certification Let's Encrypt vous permettra de chiffrer les communications de votre serveur avec une clé TLS/SSL reconnue mondialement. Un certificat émis par l'​autorité de certification Let's Encrypt vous permettra de chiffrer les communications de votre serveur avec une clé TLS/SSL reconnue mondialement.
  
-==== But final de ce Cahier ====+===== But final de ce Cahier ​=====
  
 {{Images_Cahier-101-03-005.png?​25}} Le serveur LOCAL peut être virtuel ou physique et accessible ou non depuis l'​Internet. {{Images_Cahier-101-03-005.png?​25}} Le serveur LOCAL peut être virtuel ou physique et accessible ou non depuis l'​Internet.
  
-=== Serveur virtuel ===+==== Serveur virtuel ​====
  
 {{ Images_Cahier-101-04-001.png?​550 }} {{ Images_Cahier-101-04-001.png?​550 }}
Ligne 23: Ligne 24:
 \\  \\ 
  
-==== Cours NethServer-101 ====+===== Cours NethServer-101 ​=====
  
 Le //Cours NethServer-101//,​ se voulant une base solide pour la création d'un site de **Commerce en ligne**, comprend plusieurs cahiers: Le //Cours NethServer-101//,​ se voulant une base solide pour la création d'un site de **Commerce en ligne**, comprend plusieurs cahiers:
Ligne 31: Ligne 32:
   - [[nethserver_101_cahier_03_creation_un_serveur_virtuel|Cahier-03]]:​ -> Création d'un Serveur NethServer virtuel.   - [[nethserver_101_cahier_03_creation_un_serveur_virtuel|Cahier-03]]:​ -> Création d'un Serveur NethServer virtuel.
   - [[nethserver_101_cahier_04_local_certificat_let_encrypt|Cahier-04]]:​ -> Serveur NethServer LOCAL & Let's Encrypt.   - [[nethserver_101_cahier_04_local_certificat_let_encrypt|Cahier-04]]:​ -> Serveur NethServer LOCAL & Let's Encrypt.
-  - [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver|Cahier-05]]:​ -> FAI, modem VDSL, domaine FQDN(( **FQDN**: Dans le //DNS//, un Fully Qualified Domain Name //(FQDN, ou nom de domaine complètement qualifié)//​ est un nom de domaine qui révèle la position absolue d'un nœud dans l'​arborescence //DNS// en indiquant tous les domaines de niveau supérieur jusqu'​à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le //FQDN// est ponctué par un point final. //​Référence://​ [[https://​fr.wikipedia.org/​wiki/​Fully_qualified_domain_name|https://​fr.wikipedia.org/​wiki/​Fully_qualified_domain_name]]. +  - [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver|Cahier-05]]:​ -> FAI, modem VDSL, domaine FQDN(( **FQDN**: Dans le //DNS//, un Fully Qualified Domain Name //(FQDN, ou nom de domaine complètement qualifié)//​ est un nom de domaine qui révèle la position absolue d'un nœud dans l'​arborescence //DNS// en indiquant tous les domaines de niveau supérieur jusqu'​à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le //FQDN// est ponctué par un point final.\\  
- )) et Serveur NethServer physique.+//​Référence://​ [[https://​fr.wikipedia.org/​wiki/​Fully_qualified_domain_name|https://​fr.wikipedia.org/​wiki/​Fully_qualified_domain_name]]. ​\\ \\ )) et Serveur NethServer physique.
   - [[nethserver_101_cahier_06_nethserver_wordPress|Cahier-06]]:​ -> Installation de WordPress.   - [[nethserver_101_cahier_06_nethserver_wordPress|Cahier-06]]:​ -> Installation de WordPress.
   - [[nethserver_101_cahier_07_nethserver_wordPress_wordfence|Cahier-07]]:​ -> Installation de l'​extension de sécurité Wordfence.   - [[nethserver_101_cahier_07_nethserver_wordPress_wordfence|Cahier-07]]:​ -> Installation de l'​extension de sécurité Wordfence.
Ligne 39: Ligne 40:
   - [[nethserver_101_cahier_10_mandataire_inverse|Cahier-10]]:​ -> Serveur mandataire inversé.   - [[nethserver_101_cahier_10_mandataire_inverse|Cahier-10]]:​ -> Serveur mandataire inversé.
   - [[nethserver_101_cahier_11_nethserver_backuppc|Cahier-11]]:​ -> Sauvegarde/​restauration avec BackupPC.   - [[nethserver_101_cahier_11_nethserver_backuppc|Cahier-11]]:​ -> Sauvegarde/​restauration avec BackupPC.
 +
 +==== Cours NethServer-201 ====
 +
 +Le //Cours NethServer-201//​ décrit l'​installation et la configuration d'​applications sur un serveur NethServer.
 +
 +  - [[nethserver_201_cahier_01_nethserver_et_dolibarr|Cahier-201-01]]:​ -> Dolibarr.
 +  - [[nethserver_201_cahier_02_odoo_12|Cahier-201-02]]:​ -> Odoo-12.
 +  - [[nethserver_201_cahier_03_mediawiki|Cahier-201-03]]:​ -> MediaWiki.
 +  - [[nethserver_201_cahier_04_dokuwiki|Cahier-201-04]]:​ -> DokuWiki.
 +  - [[nethserver_201_cahier_05_moodle|Cahier-201-05]]:​ -> Moodle.
 +  - [[nethserver_201_cahier_06_proxmox|Cahier-201-06]]:​ -> Proxmox.
 +  - [[nethserver_201_cahier_07_flectra|Cahier-201-07]]:​ -> Flectra.
  
 ==== Logiciels ==== ==== Logiciels ====
  
-Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence GPL; ils ne coûtent pas un sou. Le seul achat nécessaire est l'​obtention d'un nom de domaine au prix initial de $15 CAD et son renouvellement annuel d'​environ $30 CAD.+Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence ​//GPL//; ils ne coûtent pas un sou. Le seul achat nécessaire est l'​obtention d'un nom de domaine au prix initial de $15 CAD et son renouvellement annuel d'​environ $30 CAD.
  
-=== But final ===+==== But final ====
  
-Après avoir suivi le //Cours NethServer-101//,​ vous posséderez un site de //Commerce en ligne// fiable et hautement sécuritaire. De plus, vous pourrez utiliser un clone de votre site, sur un Serveur NethServer virtuel roulant sur votre poste de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'​intégrité de votre site en ligne.+Après avoir suivi le //Cours NethServer-101//,​ vous posséderez un site de //Commerce en ligne// fiable et hautement sécuritaire. De plus, vous pourrez utiliser un clone de votre site, sur un //Serveur NethServer// virtuel roulant sur votre poste de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'​intégrité de votre site en ligne.
  
-{{ Images_cahier-101-01-001.png?450 }}+{{ NS-101_001_Diagramme.png?500 }}
  
-==== Particularités de ce document ====+===== Particularités de ce document ​=====
  
-=== Notes au lecteur ===+==== Notes au lecteur ​====
  
 <​nowiki>​*</​nowiki>​ Les captures d'​écrans ne sont que des références.\\ <​nowiki>​*</​nowiki>​ Les captures d'​écrans ne sont que des références.\\
Ligne 58: Ligne 71:
 <​nowiki>​***</​nowiki>​ Une capture d'​écran avec une accentuation en magenta indique qu'il faut remplacer cette distinction par vos propres paramètres ou implique un choix laissé à votre appréciation. <​nowiki>​***</​nowiki>​ Une capture d'​écran avec une accentuation en magenta indique qu'il faut remplacer cette distinction par vos propres paramètres ou implique un choix laissé à votre appréciation.
  
-=== Conventions ===+==== Conventions ​====
  
-{{Images_Cahier-101-03-003.png?22}} Manipulation,​ truc ou ruse pour se tirer d'​embarras.\\ +{{Images_icone-201-001_doigt.png?22}} Manipulation,​ truc ou ruse pour se tirer d'​embarras.\\ 
-{{Images_Cahier-101-03-004.png?25}} Une recommandation ou astuce.\\ +{{Images_icone-201-002_Lumiere.png?25}} Une recommandation ou astuce.\\ 
-{{Images_Cahier-101-03-005.png?25}} Une note.\\ +{{Images_icone-201-003_Note.png?25}} Une note.\\ 
-{{Images_Cahier-101-03-006.png?25}} Une étape, note ou procédure à surveiller.\\ +{{Images_icone-201-004_Triangle.png?25}} Une étape, note ou procédure à surveiller.\\ 
-{{Images_Cahier-101-03-007.png?25}} Paragraphe non complété ou non vérifié.\\ +{{Images_icone-201-005_Non-termine.png?25}} Paragraphe non complété ou non vérifié.\\ 
-{{Images_Cahier-101-03-008.png?25}} Danger pour la sécurité du système.+{{Images_icone-201-006_Securite.png?25}} Danger pour la sécurité du système.
  
-Toutes les commandes à la console ou à travers PuTTY sont précédées d'une invite qui est toujours présente.+Toutes les commandes à la console ou à travers ​//PuTTY// sont précédées d'une invite qui est toujours présente.
  
 <​file>​ <​file>​
Ligne 92: Ligne 105:
 </​file>​ </​file>​
 </​WRAP>​ </​WRAP>​
-\\+\\ 
  
-===== Glossaire =====+====== Glossaire ​======
  
 Ce chapitre rassemble quelques termes pour permettre une brève introduction à la cryptographie. Ce chapitre rassemble quelques termes pour permettre une brève introduction à la cryptographie.
Ligne 265: Ligne 278:
 </​WRAP>​ </​WRAP>​
  
-===== Let's Encrypt =====+====== Let's Encrypt ​======
  
-==== Principe de fonctionnement de Letsencrypt ====+===== Principe de fonctionnement de Letsencrypt ​=====
  
 Référence:​ [[https://​linuxfr.org/​news/​reparlons-de-let-s-encrypt|https://​linuxfr.org/​news/​reparlons-de-let-s-encrypt]].\\ ​ Référence:​ [[https://​linuxfr.org/​news/​reparlons-de-let-s-encrypt|https://​linuxfr.org/​news/​reparlons-de-let-s-encrypt]].\\ ​
Ligne 289: Ligne 302:
 En définitive,​ le but est que l'​administrateur puisse mettre en place TLS/SSL, avant d'​oublier jusqu'​à l'​existence même du script ''​acme.sh''​. En définitive,​ le but est que l'​administrateur puisse mettre en place TLS/SSL, avant d'​oublier jusqu'​à l'​existence même du script ''​acme.sh''​.
  
-==== Courriels du certificat ====+===== Courriels du certificat ​=====
  
 Aucun courriel n'est envoyé pour confirmer le certificat, mais vous devez fournir une adresse courriel et un/des CNAME valides lors de l'​exécution du script ''​acme.sh''​. Aucun courriel n'est envoyé pour confirmer le certificat, mais vous devez fournir une adresse courriel et un/des CNAME valides lors de l'​exécution du script ''​acme.sh''​.
  
-==== Transparence des certificats ====+===== Transparence des certificats ​=====
  
 Une partie de la mission de transparence de la société Let's Encrypt comprend la divulgation publique des certificats qu'​elle délivre via //​Certificate Transparency//​. L'​adresse courriel n'est pas divulguée publiquement. Une partie de la mission de transparence de la société Let's Encrypt comprend la divulgation publique des certificats qu'​elle délivre via //​Certificate Transparency//​. L'​adresse courriel n'est pas divulguée publiquement.
  
-==== Limites ====+===== Limites ​=====
  
 //**90 jours**// //**90 jours**//
Ligne 316: Ligne 329:
 <​nowiki>​***</​nowiki>​ Il n'y a pas de limites pour le nombre de domaines contenus dans un certificat multi-domaines SAN ou plus précisément jusqu'​au maximum standard de 100. Let's Encrypt a choisi cette limite de 100 sur une base de prudence, car il semble que lorsqu'​on en obtient plus de 100, certains navigateurs Web ont un comportement erratique. Let's Encrypt peut probablement augmenter cette limite si quelqu'​un en fait la demande. <​nowiki>​***</​nowiki>​ Il n'y a pas de limites pour le nombre de domaines contenus dans un certificat multi-domaines SAN ou plus précisément jusqu'​au maximum standard de 100. Let's Encrypt a choisi cette limite de 100 sur une base de prudence, car il semble que lorsqu'​on en obtient plus de 100, certains navigateurs Web ont un comportement erratique. Let's Encrypt peut probablement augmenter cette limite si quelqu'​un en fait la demande.
  
-==== Mode Officiel vs TEST ====+===== Mode Officiel vs TEST =====
  
-Si vous voulez tester le script ''​acme.sh''​ //(mode Staging)//​(( **Staging:​**Un site **Staging**,​ dans la conception de sites Web, est un site utilisé pour assembler, tester et revoir une version plus récente avant de l'​implanter en Production.\\ //**Référence**//: [[https://​en.wikipedia.org/​wiki/​Staging_site|https://​en.wikipedia.org/​wiki/​Staging_site]]. ​+Si vous voulez tester le script ''​acme.sh''​ //(mode Staging)//​(( **Staging:​**Un site **Staging**,​ dans la conception de sites Web, est un site utilisé pour assembler, tester et revoir une version plus récente avant de l'​implanter en Production.\\ //​Référence//:​ [[https://​en.wikipedia.org/​wiki/​Staging_site|https://​en.wikipedia.org/​wiki/​Staging_site]]. ​
  ​)) ​ et que vous n'​êtes pas encore certain de vouloir l'​adopter,​ vous pouvez utiliser le paramètre ''​--test''​.  ​)) ​ et que vous n'​êtes pas encore certain de vouloir l'​adopter,​ vous pouvez utiliser le paramètre ''​--test''​.
  
 Le principal avantage est de pouvoir demander autant de certificats que vous avez besoin pour vos tests sans vous heurter à la limite 5/7. Le principal avantage est de pouvoir demander autant de certificats que vous avez besoin pour vos tests sans vous heurter à la limite 5/7.
  
-=== Autorité de certification (CA) ===+==== Autorité de certification (CA) ====
  
 <WRAP indent> <WRAP indent>
Ligne 330: Ligne 343:
 Lors d'une demande de certificat officiel, le script ''​acme.sh''​ utilise la CA officielle, //Let’s Encrypt Authority X3//. Lors d'une demande de certificat officiel, le script ''​acme.sh''​ utilise la CA officielle, //Let’s Encrypt Authority X3//.
  
-== CA de TEST ==+=== CA de TEST ===
  
 Un certificat de test ne sera pas signé directement par Let's Encrypt mais par sa CA de tests, //Fake LE Intermediate X1//. Ce certificat de test ne sera pas reconnu par la plupart des navigateurs et affichera une erreur. La communication sera tout de même chiffrée. Un certificat de test ne sera pas signé directement par Let's Encrypt mais par sa CA de tests, //Fake LE Intermediate X1//. Ce certificat de test ne sera pas reconnu par la plupart des navigateurs et affichera une erreur. La communication sera tout de même chiffrée.
Ligne 339: Ligne 352:
 </​WRAP>​ </​WRAP>​
  
-==== Conditions préalables ====+===== Conditions préalables ​=====
  
 Le script ''​acme.sh''​ et le Serveur NethServer interagissent pour confirmer que la personne, demandant un certificat pour un nom d'​hôte,​ contrôle réellement ce serveur. Le script ''​acme.sh''​ et le Serveur NethServer interagissent pour confirmer que la personne, demandant un certificat pour un nom d'​hôte,​ contrôle réellement ce serveur.
Ligne 354: Ligne 367:
 {{Images_Cahier-101-03-006.png?​25}} Assurez-vous que tout est correctement en place avant de continuer. {{Images_Cahier-101-03-006.png?​25}} Assurez-vous que tout est correctement en place avant de continuer.
  
-===== Certificat pour un domaine LOCAL =====+====== Certificat pour un domaine LOCAL ======
  
-==== Description ====+===== Description ​=====
  
 //​Référence://​ [[https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_for_internal_servers|https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_for_internal_servers]].\\ ​ //​Référence://​ [[https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_for_internal_servers|https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_for_internal_servers]].\\ ​
 Obtention d'un certificat de confiance Let's Encrypt pour un Serveur NethServer LOCAL accessible ou non depuis l'​Internet. Obtention d'un certificat de confiance Let's Encrypt pour un Serveur NethServer LOCAL accessible ou non depuis l'​Internet.
  
-==== Serveur directement branché à l'​Internet ====+===== Serveur directement branché à l'​Internet ​=====
  
 Pour l'​obtention d'un certificat Let's Encrypt pour un serveur branché directement à l'​Internet,​ voir le chapitre Certificat Let's Encrypt dans le [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver|Cahier-05]]:​ //VDSL, FQDN, Internet et NethServer//​. Pour l'​obtention d'un certificat Let's Encrypt pour un serveur branché directement à l'​Internet,​ voir le chapitre Certificat Let's Encrypt dans le [[nethserver_101_cahier_05_vdsl_fqdn_internet_et_nethserver|Cahier-05]]:​ //VDSL, FQDN, Internet et NethServer//​.
  
-==== Prérequis ====+===== Prérequis ​=====
  
 La prise en charge intégrée des certificats Let’s Encrypt nécessite que votre serveur soit accessible publiquement sur le <wrap em>port 80</​wrap>​. La prise en charge intégrée des certificats Let’s Encrypt nécessite que votre serveur soit accessible publiquement sur le <wrap em>port 80</​wrap>​.
  
-=== Contexte ===+==== Contexte ​====
  
 Nethserver 7 inclut la possibilité d’obtenir et de renouveler automatiquement un certificat TLS approuvé auprès de Let’s Encrypt. Cette fonctionnalité est fort utile, mais en raison de la méthode utilisée pour valider votre contrôle sur votre nom de domaine, elle ne convient pas aux serveurs sur un réseau LOCAL qui ne peuvent pas être atteints depuis l'​Internet. Heureusement,​ Let’s Encrypt prend en charge une autre méthode de validation bien adaptée à ce cas particulier. Nethserver 7 inclut la possibilité d’obtenir et de renouveler automatiquement un certificat TLS approuvé auprès de Let’s Encrypt. Cette fonctionnalité est fort utile, mais en raison de la méthode utilisée pour valider votre contrôle sur votre nom de domaine, elle ne convient pas aux serveurs sur un réseau LOCAL qui ne peuvent pas être atteints depuis l'​Internet. Heureusement,​ Let’s Encrypt prend en charge une autre méthode de validation bien adaptée à ce cas particulier.
Ligne 377: Ligne 390:
 Le mécanisme de validation alternatif est le validateur DNS-01. Avec cette méthode, un enregistrement //DNS TXT// est créé pour //<​nowiki>​_acme-challenge.votre_fqdn</​nowiki>//,​ avec une longue chaîne pseudo-aléatoire comme contenu. Cette méthode est pratique uniquement pour une utilisation automatisée si votre hôte DNS fournit une API permettant au logiciel client de mettre à jour automatiquement vos enregistrements DNS. Bien que ce validateur soit supporté par le client officiel Certbot, il est mieux pris en charge par certains clients tiers. Le mécanisme de validation alternatif est le validateur DNS-01. Avec cette méthode, un enregistrement //DNS TXT// est créé pour //<​nowiki>​_acme-challenge.votre_fqdn</​nowiki>//,​ avec une longue chaîne pseudo-aléatoire comme contenu. Cette méthode est pratique uniquement pour une utilisation automatisée si votre hôte DNS fournit une API permettant au logiciel client de mettre à jour automatiquement vos enregistrements DNS. Bien que ce validateur soit supporté par le client officiel Certbot, il est mieux pris en charge par certains clients tiers.
  
-=== La solution ===+==== La solution ​====
  
 Nous allons décrire l'​utilisation du script ''​acme.sh''​ ([[https://​github.com/​Neilpang/​acme.sh|https://​github.com/​Neilpang/​acme.sh]]) pour l'​obtention d'un certificat utilisant la validation DNS, en pré-supposant que votre DNS est hébergé sur //​Cloudflare//​ ([[https://​www.cloudflare.com/​|https://​www.cloudflare.com/​]]). Nous allons décrire l'​utilisation du script ''​acme.sh''​ ([[https://​github.com/​Neilpang/​acme.sh|https://​github.com/​Neilpang/​acme.sh]]) pour l'​obtention d'un certificat utilisant la validation DNS, en pré-supposant que votre DNS est hébergé sur //​Cloudflare//​ ([[https://​www.cloudflare.com/​|https://​www.cloudflare.com/​]]).
Ligne 389: Ligne 402:
 Si votre fournisseur DNS ne dispose pas d'une API prise en charge, vous pouvez envisager d'​utiliser ''​acme-dns''​ ([[https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_acme-dns|https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_acme-dns]]). Si votre fournisseur DNS ne dispose pas d'une API prise en charge, vous pouvez envisager d'​utiliser ''​acme-dns''​ ([[https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_acme-dns|https://​wiki.nethserver.org/​doku.php?​id=userguide:​let_s_encrypt_acme-dns]]).
  
-==== Ouverture d'un compte chez Cloudflare ====+===== Ouverture d'un compte chez Cloudflare ​=====
  
 //​Référence://​ [[https://​fr.wikipedia.org/​wiki/​Cloudflare|https://​fr.wikipedia.org/​wiki/​Cloudflare]].\\ //​Référence://​ [[https://​fr.wikipedia.org/​wiki/​Cloudflare|https://​fr.wikipedia.org/​wiki/​Cloudflare]].\\
Ligne 399: Ligne 412:
  
 {{ Images_Cahier-101-04-006.png?​350}} {{ Images_Cahier-101-04-006.png?​350}}
-=== Connexion ===+==== Connexion ​====
  
 On se rend à l'URL [[https://​www.cloudflare.com/​en-ca/​|https://​www.cloudflare.com/​en-ca/​]] et on clique **Sign Up**. On se rend à l'URL [[https://​www.cloudflare.com/​en-ca/​|https://​www.cloudflare.com/​en-ca/​]] et on clique **Sign Up**.
 <WRAP clear></​WRAP>​ <WRAP clear></​WRAP>​
  
-=== Configuration ===+==== Configuration ​====
  
 <WRAP column 30%> <WRAP column 30%>
Ligne 500: Ligne 513:
  
 <WRAP column 45%> <WRAP column 45%>
-==== Serveurs de noms ====+===== Serveurs de noms =====
  
 //​Cloudflare//​ nous indique de remplacer les serveurs de noms chez notre régistraire par ceux qu'il utilise lui-même: //​Cloudflare//​ nous indique de remplacer les serveurs de noms chez notre régistraire par ceux qu'il utilise lui-même:
Ligne 522: Ligne 535:
 \\ \\
  
-=== Remplacement des serveurs de noms chez le régistraire de notre domaine ===+==== Remplacement des serveurs de noms chez le régistraire de notre domaine ​====
  
 Le régistraire pour notre domaine //​micronator-dev.org//​ est [[http://​ionos.fr/​|ionos.fr]]. Le régistraire pour notre domaine //​micronator-dev.org//​ est [[http://​ionos.fr/​|ionos.fr]].
Ligne 571: Ligne 584:
 \\ \\
  
-==== Retour chez Cloudflare ====+===== Retour chez Cloudflare ​=====
  
 <WRAP center> <WRAP center>
Ligne 591: Ligne 604:
 \\ \\
  
-==== Clé API ====+===== Clé API =====
  
 Il nous faut maintenant récupérer notre //clé API Globale//​.\\ ​ Il nous faut maintenant récupérer notre //clé API Globale//​.\\ ​
Ligne 631: Ligne 644:
 \\ \\
  
-==== Installation du script acme.sh ====+===== Installation du script acme.sh ​=====
  
 La commande ci-dessous téléchargera les fichiers accompagnant ''​acme.sh'',​ les stockera dans le répertoire ''​~/​.acme.sh''​ et mettra à jour votre variable d’environnement ''​PATH''​ pour inclure ce chemin. La commande ci-dessous téléchargera les fichiers accompagnant ''​acme.sh'',​ les stockera dans le répertoire ''​~/​.acme.sh''​ et mettra à jour votre variable d’environnement ''​PATH''​ pour inclure ce chemin.
Ligne 676: Ligne 689:
 </​file>​ </​file>​
  
-=== Configuration ===+==== Configuration ​====
  
-== Chemin des fichiers du certificat ==+=== Chemin des fichiers du certificat ​===
  
 On doit définir certaines entrées de la base de données de configuration:​ On doit définir certaines entrées de la base de données de configuration:​
Ligne 706: Ligne 719:
 </​file>​ </​file>​
  
-== Variables d'​environnement ==+=== Variables d'​environnement ​===
  
 On doit définir certaines variables d’environnement correspondant à nos informations d’identification et à notre validateur DNS c.-à-d. //​Cloudflare//​. On doit définir certaines variables d’environnement correspondant à nos informations d’identification et à notre validateur DNS c.-à-d. //​Cloudflare//​.
Ligne 742: Ligne 755:
 {{Images_Cahier-101-03-003.png?​22}} {{Images_Cahier-101-03-006.png?​25}} <wrap em>Si vous réamorcez</​wrap>​ le Serveur NethServer avant la demande d'un certificat, vous perdez ces exportations. Il vous faudra alors les refaire. {{Images_Cahier-101-03-003.png?​22}} {{Images_Cahier-101-03-006.png?​25}} <wrap em>Si vous réamorcez</​wrap>​ le Serveur NethServer avant la demande d'un certificat, vous perdez ces exportations. Il vous faudra alors les refaire.
  
-== Vérification de la configuration PKI ==+=== Vérification de la configuration PKI ===
  
 <​file>​ <​file>​
Ligne 768: Ligne 781:
 \\  \\ 
  
-==== Demande d'un certificat ====+===== Demande d'un certificat ​=====
  
 On lance une demande d'un certificat de <wrap em>​TEST</​wrap>​ pour notre domaine //​micronator-dev.org//​ et trois de ses CNAME. On lance une demande d'un certificat de <wrap em>​TEST</​wrap>​ pour notre domaine //​micronator-dev.org//​ et trois de ses CNAME.
Ligne 882: Ligne 895:
 \\  \\ 
  
-==== Vérification ====+===== Vérification ​=====
  
 __**À la console du serveur**__ __**À la console du serveur**__
Ligne 958: Ligne 971:
 \\ \\
  
-==== Renouvellement ====+===== Renouvellement ​=====
  
 À chaque jour, une //tâche cron// vérifie le nombre de jours restant pour la validité. ​ À chaque jour, une //tâche cron// vérifie le nombre de jours restant pour la validité. ​
Ligne 1001: Ligne 1014:
 \\  \\ 
  
-==== Répertoire well-known ====+===== Répertoire well-known ​=====
  
 //​Référence://​ [[https://​dev-notes.eu/​2017/​01/​apache-directives-in-config-vs-htaccess/​|https://​dev-notes.eu/​2017/​01/​apache-directives-in-config-vs-htaccess/​]]\\ //​Référence://​ [[https://​dev-notes.eu/​2017/​01/​apache-directives-in-config-vs-htaccess/​|https://​dev-notes.eu/​2017/​01/​apache-directives-in-config-vs-htaccess/​]]\\
Ligne 1012: Ligne 1025:
 Pour ce genre de serveur //(branché directement à l'​Internet)//,​ nous devons créer un fichier ''/​etc/​httpd/​conf.d/​z_well-known.conf''​ pour indiquer à //Apache// de rendre accessibles le répertoire ''​.well-known''​ et son sous-répertoire ''​acme-challenge''​. Pour ce genre de serveur //(branché directement à l'​Internet)//,​ nous devons créer un fichier ''/​etc/​httpd/​conf.d/​z_well-known.conf''​ pour indiquer à //Apache// de rendre accessibles le répertoire ''​.well-known''​ et son sous-répertoire ''​acme-challenge''​.
  
-=== Création du fichier z_well-known.conf ===+==== Création du fichier z_well-known.conf ​====
  
 {{Images_Cahier-101-03-006.png?​25}} Prendre tout le contenu de l'​encadré pour la commande. {{Images_Cahier-101-03-006.png?​25}} Prendre tout le contenu de l'​encadré pour la commande.
Ligne 1056: Ligne 1069:
 {{Images_Cahier-101-03-006.png?​25}} Il n'y a pas de ligne vide au dessus de //​Alias...//​ Ci-dessus, Nous en avons inséré une afin de faciliter la copie de la commande. {{Images_Cahier-101-03-006.png?​25}} Il n'y a pas de ligne vide au dessus de //​Alias...//​ Ci-dessus, Nous en avons inséré une afin de faciliter la copie de la commande.
  
-== Sauvegarde du fichier ==+=== Sauvegarde du fichier ​===
  
 On vérifie si le nom du fichier ''/​etc/​httpd/​conf/​z_well-known.conf''​ est déjà inclus dans le fichier d'​inclusion de la sauvegarde des données: ''/​etc/​backup-data.d/​custom.include'',​ sinon on l'​insère. On vérifie si le nom du fichier ''/​etc/​httpd/​conf/​z_well-known.conf''​ est déjà inclus dans le fichier d'​inclusion de la sauvegarde des données: ''/​etc/​backup-data.d/​custom.include'',​ sinon on l'​insère.
Ligne 1088: Ligne 1101:
 Ci-dessus, il n'y a pas de ligne vide avant //<​nowiki>/​etc/​httpd/​conf/​z_well-known.conf</​nowiki>//​. Nous en avons inséré une afin de faciliter la copie de la commande. Ci-dessus, il n'y a pas de ligne vide avant //<​nowiki>/​etc/​httpd/​conf/​z_well-known.conf</​nowiki>//​. Nous en avons inséré une afin de faciliter la copie de la commande.
  
-== Redémarrage du démon httpd ==+=== Redémarrage du démon httpd ===
  
 On redémarre le démon //Apache// afin qu'il relise ses fichiers de configuration. On redémarre le démon //Apache// afin qu'il relise ses fichiers de configuration.
Ligne 1099: Ligne 1112:
 \\  \\ 
 \\  \\ 
-{{Images_Cahier-101-04-046.png?​50}} ​ Victoire totale, hissons la bannière de la victoire.+{{NS-101_002_Banniere_Victoire.png?​50}} ​ Victoire totale, hissons la bannière de la victoire.
 \\  \\ 
  
 ---- ----
  
-===== Crédits =====+====== Crédits ​======
  
 © 2016-2017-2018-2019 ​ RF-232.\\ ​ © 2016-2017-2018-2019 ​ RF-232.\\ ​
Ligne 1114: Ligne 1127:
 Répertoire de ce document: <​nowiki>​E:​\000_DocPourRF232_general\RF-232_NethServer\RF-232_Cours_NethServer-101_Cahier-04_NethServer_LOCAL_LetsEncrypt_2019-08-05_10h40.odt</​nowiki>​. Répertoire de ce document: <​nowiki>​E:​\000_DocPourRF232_general\RF-232_NethServer\RF-232_Cours_NethServer-101_Cahier-04_NethServer_LOCAL_LetsEncrypt_2019-08-05_10h40.odt</​nowiki>​.
  
-==== Historique des modifications ====+===== Historique des modifications ​=====
  
 ^Version^Date^Commentaire^Auteur| ^Version^Date^Commentaire^Auteur|
Ligne 1132: Ligne 1145:
 |3.1.0|2019-08-04|Corrections mineures pour DokuWiki.|Michel-André| |3.1.0|2019-08-04|Corrections mineures pour DokuWiki.|Michel-André|
 |12345678901| | |12345678901| |12345678901| | |12345678901|
-\\ + 
 + 
 +<​html><​hr style="​width:​50%;​ margin: 0 auto;"></​html>​
  
 ===== AVIS DE NON-RESPONSABILITÉ ===== ===== AVIS DE NON-RESPONSABILITÉ =====
Ligne 1146: Ligne 1161:
  
 ==== Avertissement==== ==== Avertissement====
 +
 Bien que nous utilisions ici un vocabulaire issu des techniques informatiques,​ nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine. Bien que nous utilisions ici un vocabulaire issu des techniques informatiques,​ nous ne prétendons nullement à la précision technique de tous nos propos dans ce domaine.
 \\ \\
 \\ \\
nethserver_101_cahier_04_local_certificat_let_encrypt.txt · Dernière modification: 2019-10-02 23:17 par michelandre