by Belgotux
Il faut commencer par installer certbot sur le serveur avant de pouvoir soumettre une demande à let’s encrypt. Ensuite, je verrais la validation d’un certificat validant un seul domaine. Pour finir, je parlerai de la validation d’un certificat multi-domaine let’s encrypt.
Si vous comptez gérer votre propre dépôt Git sur un serveur dédié ou VPS, vous utiliserai surement https comme protocole de communication. Pour aller plus vite, vous créerez surement un certificat autosigné. Dans ce cas, Git risque de refuser de s’y connecter car le certificat n’est pas valide. Vous aurez le même problème avec un certificat signé utilisé pour un autre FQDN. Voici le type d’erreur rencontré :
|
1 2 3 |
git clone https://devel.domain.tld/git Cloning into 'git'... error: SSL: certificate subject name (git.domain.tld) does not match target host name 'devel.domain.tld' while accessing https://devel.domain.tld/git/info/refs |
Pour pouvoir obtenir le projet en local, il faut passer par...
L’information est surement déjà vue et revue, je met donc simplement quelques notes sur openssl pour la création de certificats autosignés. Générer certificat
|
1 2 |
openssl genrsa -out /etc/apache2/apache.key openssl req -new -x509 -days 3650 -key /etc/apache2/apache.key -out /etc/apache2/apache.cert |
Attention : mettre le nom de la machine / nom de domaine pour “Common Name” On peut utiliser un wildcard (joker) du type *.example.com Il est possible d’associer plusieurs noms alternatifs à un certificat en utilisant subjectAltName Editer l’écoute apache
|
1 |
vim /etc/apache2/ports.conf : NameVirtualHost *:443 |
Utiliser un certificat dans la config virtualhost
|
1 2 3 |
SSLEngine on SSLCertificateFile /chemin/vers/www.example.com.cert SSLCertificateKeyFile /chemin/vers/www.example.com.key |
Obtenir le certificat d’un site
|
1 |
openssl s_client -showcerts -connect imap.googlemail.com:993 </dev/null |
...
Vous avez surement déjà utilisé des certificats SSL pour sécuriser vos applications. Et très certainement des certificats auto-signés. Mais chaque nouvel utilisateur reçoit un message d’avertissement de sécurité et ce n’est pas professionnel. Cela peut être dangereux. En effet, n’importe qui se plaçant entre le nouvel utilisateur et le serveur peut faire une attaque MITM et générer un certificat auto-signé pour se faire passer pour le serveur distant. Le nouvel utilisateur n’y verra que du feu s’il ne vérifie pas l’emprunte...
En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations
Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.