ReLoad

Thierry Jaouen WikiBlog
"Rien à foutre d'être lu,
tant que je peux me relire."

User Tools

Site Tools


start


Let's Encrypt: Faire signer ses propres clés

On a vu précédemment comment utiliser le script “letsencrypt-auto” pour créer des clés signés.

C'est sympa, mais je n'aime pas trop la manière dont sont organisés les fichiers dans “/etc/letsencrypt/” : c'est confus pour moi.

Il existe une option pour signer ses propres clés.
Elle est assez simple et laisse a chacun le choix sur la manière d'organiser ses fichiers…

Let's Encrypt avec nginx

Let's Encrypt” permet de créer des certificats “SSL/https” gratuitement , et surtout, reconnu par la grande majorité des navigateurs.

:!: UPDATE: La suite logiciel du client “Let's Encrypt” a changé de nom pour “certbot”.

Il y a quelques limites (susceptible de changer), dont:

  • les certificats sont valides que 90 jours maximum
  • Il n'y a pas de joker (genre: “*.mondomain.fr” )
  • Un certificat ne peut pas contenir plus de 100 domaines.
  • Il ne faut pas créer trop de certificat par semaines/IP/domaines (voir détails ailleurs)

Pour ce qui concerne les limites, on peut quand même faire des tests à volonté avec des “fausses clés”… ouf.

Il y a 2 gros écueils:

  1. Il faut pouvoir être identifié “automagicaly” comme administrateur des domaines
  2. Il faut renouveler les certificats relativement souvent (<90 jours).

Je vais rapidement expliquer comment installer les outils “Let's Encrypt” et puis les utiliser.

J'ai pour habitude d'utiliser nginx en frontal https, comme proxy… Donc, la mise en pratique reposera sur nginx, mais c'est parfaitement adaptable pour d'autres environnements…

Dans un autre article , j'explique comment faire signer ses propres clés…
(Et c'est finalement cette dernière méthode que j'ai adopté pour ma petite infra perso…)

Bacula : installation du Directeur

Installation de Bacula, le meilleur système de backup in the world ;-)

Si vous cherchez un truc clair avec des belles images, c'est par là : http://www.artduweb.com/tutoriels/bacula

Si vous n'avez pas peur de lire mes notes, vous pouvez continuer la lecture…

Nginx et ssl_client_certificate

Mise en place d'une mini infrastructure NGINX avec SSL , avec des clés SSL signés pour les clients.

Il s'agit pas seulement de chiffrer la communication, mais aussi de refuser les clients qui n'utilisent pas une clé reconnue ou revokée par “notre” autorité.

RoundCube: Migration sous Debian Jessie

rouncube 1.1.2

Roundcube” 1.1.2 est disponible sur les backports de Jessie.

La migration de “wheezy-backport” vers “jessie-backport” n'est pas sans problème.

Voici quelques notes pour mémoire.



start.txt · Last modified: 2012/03/25 22:48 by thierry