Certificat SSL Let's Encrypt pour site auto-hébergé

Quelque chose ne fonctionne pas alors qu'il vous semble que le soucis ne vient pas de vous ? Vous avez des questions sur nos services et vous pensez que vos préoccupation peuvent intéresser d'autres hébergés ? N'hésitez pas à nous contacter.
Répondre
Myszka
Messages : 3
Enregistré le : 25 octobre 2019 à 10:54

Bonjour,

Je viens d'acquérir cette semaine un domaine chez FSH et activer le certificat SSL.
Ce que je souhaite, c'est récupérer les certificats et les utiliser dans mes fichiers de configuration d'Apache pour sécuriser mon site auto-hébergé.
Je n'ai pas trouvé comment les récupérer avec l'interface d'administration, ni avec FTP.
Mais ce n'est peut être pas comme ça que ça fonctionne ?

merci d'avance
Avatar du membre
Elodie
Messages : 7739
Enregistré le : 2 avril 2010 à 20:14

Bonsoir,

Tout d'abord, merci d'avoir choisi mes services pour l'achat de votre nom de domaine.

Vous pourriez accéder au certificat SSL via votre interface de gestion FSH en cliquant sur la roue dentée en face de l'adresse de votre nom de domaine dans l'encadré "Mes domaines hébergés / DNS", mais je ne vous le conseille pas car il vous faudrait le faire tous les 3 mois.

Le mieux serai de générer vous-même votre certificat SSL Let's Encrypt en utilisant cerbot ou letsencrypt-auto via leur API, soit :

- "acme-v01" pour le ou les adresses auto-hébergées si vous laissez vos NS chez FSH (ce que je recommande pour votre situation),
- ou "acme-v02" si vous choisissez d'héberger vos NS pour des adresses wildcard (mais je ne recommande pas car dans ce cas le DKIM signé ne pourra plus se faire chez FSH).

Par contre je ne pourrai pas vous aider plus que ça dans l'utilisation des services de Let's Encrypt.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Myszka
Messages : 3
Enregistré le : 25 octobre 2019 à 10:54

Bonjour Elodie,

Merci pour votre retour et vos explications, l'horizon s'éclaircit. :-)

Si j'ai bien compris, étant auto-hébergé, c'est donc le renouvellement qui posera problème et nécessitera de récupérer manuellement tous les 3 mois, le nouveau certificat généré par FSH, ce que me permet de faire automatiquement cerbot (via une tâche cron), donc je pense que c'est par là que je vais certainement continuer.

Mais savez vous si cerbot me permet de générer un certificat wildcard pour sécuriser l'ensemble des mes sous-domaines (*..fr), sans avoir à regénèrer un certificat pour chaque nouveau ?
Je vous demande ça car j'ai eu un doute en lisant dans votre réponse, les précisions sur les certificats wildcard acme-v01 vs acme-v02 qui m'obligerait peut-être de placer mes NS ailleurs que chez FSH !?

merci d'avance.
Avatar du membre
Elodie
Messages : 7739
Enregistré le : 2 avril 2010 à 20:14

Bonsoir,
myszka a écrit :Si j'ai bien compris, étant auto-hébergé, c'est donc le renouvellement qui posera problème et nécessitera de récupérer manuellement tous les 3 mois, le nouveau certificat généré par FSH, ce que me permet de faire automatiquement cerbot (via une tâche cron), donc je pense que c'est par là que je vais certainement continuer.
Voilà oui tout à fait, cerbot/letsencrypt-auto avec "acme-v01" sont à préférer pour générer ses propres certificats SSL lorsque l'on s'auto héberge.
myszka a écrit :Mais savez vous si cerbot me permet de générer un certificat wildcard pour sécuriser l'ensemble des mes sous-domaines (*.<mon_domaine>.fr), sans avoir à regénèrer un certificat pour chaque nouveau ? Je vous demande ça car j'ai eu un doute en lisant dans votre réponse, les précisions sur les certificats wildcard acme-v01 vs acme-v02 qui m'obligerait peut-être de placer mes NS ailleurs que chez FSH !?
La nouveauté de "acme-v02" permet le wildcard, à l'inverse de "acme-v01" non wildcard qui permet du multi-adresse (SNI) préalablement définit et donc limité.

L'API "acme-v01" demande à ce que chaque adresse dirige vers une ressource web où se trouve le mécanisme d'authentification, contrairement à L'API "acme-v02" qui lui fonctionne uniquement avec la zone DNS du domaine où l'on doit insérer à l'intérieur de celle-ci au moment de la génération du certificat SSL, un code indiqué par le mécanisme d'authentification, dans un champ TXT.

Donc si vous voulez faire du wildcard vous-même et tout automatiser, il vous faudra héberger votre zone DNS (avec vos propres NS) afin de modifier votre zone DNS à la volée et tous les 3 mois. Mais en faisant ceci vous allez perdre le DKIM de FSH et donc, devoir pratiquement héberger la partie mail également.

Sinon, si vous voulez faire du wildcard tout en laissant la zone DNS chez mes services sans vous embêter tous les 3 mois, vous pouvez acheter un certificat SSL pour 1 an chez un vendeur de certificats SSL.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Myszka
Messages : 3
Enregistré le : 25 octobre 2019 à 10:54

Bonjour,

Merci pour toutes ces précisions, c'est très enrichissant.
En conclusion, je pense que je vais rester sur du "standard FSH" c'est plus simple (donc "acme-v01").
Je n'aurais de toute façon que très peu de sous-domaines (<10 je pense), donc je regénèrerai un nouveau certificat à l'occasion.
Avatar du membre
Elodie
Messages : 7739
Enregistré le : 2 avril 2010 à 20:14

Il n'y a pas de quoi :)
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre