Aide Mémoire

Certificats ssl pour accès https

Publié par Alain le

Quelques informations sur les certificats ssl (Secure Socket Layer) utilisés pour autoriser des accès sécurisés en https.

C’est Let’s Encrypt qui est utilisé car il permet l’utilisation gratuite de certificats.

La commande « certbot certificates » permet de connaître les certificats installés et leur état.

Found the following certs:
  Certificate Name: dxblog.dnset.com
    Domains: dxblog.dnset.com dxdobl.dnset.com dxdomo.dnset.com dxdomp.dnset.com dxdoto.dnset.com dxtour.wikaba.com
    Expiry Date: 2019-05-28 08:05:05+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/dxblog.dnset.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/dxblog.dnset.com/privkey.pem

Le choix qui a été fait est de regrouper tous les dns nécessaires aux différents raspberry dans un seul certificat, cela simplifie la gestion (un seul certificat valable partout) et facilite le renouvellement car il faut un port 80 ouvert depuis internet pour le renouvellement et ce n’est possible que sur une seule machine pour une box.

Le renouvellement est tenté tout les 5 du mois à 5h05 grâce à la crontab du raspberry Modele qui est ouvert vers l’extérieur pour permettre l’accès au blog Pi Infos.

Les shells cre_certif.sh et renew_certif.sh contiennent les commandes qui permettent la création et le renouvellement des certificats.

Création de DH Param (DH pour Diffie-Hellman) pour améliorer encore la sécurité (obligatoire pour un accès à Domoticz en 443) – méthode rapide :

cd /etc/ssl/certs + sudo openssl dhparam -dsaparam -out dhparam.pem 4096

fichier : /etc/ssl/certs/dhparam.pem
Pour diffuser un certificat sur une autre machine, voici les fichiers à transférer :
fullchain.pem dans /etc/letsencrypt/live/dxblog.dnset.com
privkey.pem dans /etc/letsencrypt/live/dxblog.dnset.com
dxblog.dnset.com.conf dans /etc/letsencrypt/renewal
cert.pem dans /etc/letsencrypt/live/dxblog.dnset.com
chain.pem dans /etc/letsencrypt/live/dxblog.dnset.com
dans le cas où le nom du certificat est dxblog.dnset.com
Commande pour révoquer et supprimer un certificat : sudo certbot revoke –cert-name dxtour.wikaba.com (cas où le certificat est : dxtour.wikaba.com)
Voici le résultat de la commande avec la demande de suppression :

Le renouvellement des certificats est lancé tous les premiers du mois sur le raspberry Photovolaique qui dispose en permanence d’un accès sur le port 80. Après le renouvellement, la diffusion est faite vers toutes les autres machines, toujours depuis le raspberry Photovolaique  ainsi que la copie des répertoires /archive /live et /renewal dans /etc/letsencrypt.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *