wiki

Wiki for sbi.re
Log | Files | Refs | Submodules | README

ssl.md (993B)


1---
2title: Certificats SSL
3---
4
5Tous nos sites sont accessibles en HTTPS.
6Les certificats sont renouvelés manuellement avec l'aide de [dehydrated].
7
8[dehydrated]: https://dehydrated.io/
9
10En tant que `root`, faire comme suit :
11
12    cd /etc/dehydrated
13    dehydrated -c -t dns-01 -k ./gandi-dns-hook.sh
14
15La seconde commande communique directement avec l'API LiveDNS de Gandi
16pour ajouter et supprimer les enregistrements nécessaires aux [défis DNS-01][DNS01].
17La clé d'API est dans le fichier `GANDI_API_KEY`.
18
19[DNS01]: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
20
21Ce script s'occupe de *recharger* les services qui utilisent les certificats,
22tels que `nginx`, `prosody`, `dovecot` ou `OpenSMTPD`. Mieux vaut vérifier
23que tout s'est déroulé comme il faut, mais a priori ça marche tout seul.
24
25Il est parfois nécessaire de s'assurer que les nouveaux certificats soient lisibles
26par le groupe `certs`.
27
28    doas chown root:certs -R certs
29    doas chmod g+certs -R certs