... | ... | @@ -5,7 +5,7 @@ |
|
|
Les certificats sont gérés avec [Certbot](https://certbot.eff.org/docs/using.html), ceux-ci sont créé avec la commande :
|
|
|
```
|
|
|
certbot certonly --cert-name proxmox.gresille.org -d proxmox.gresille.org
|
|
|
```.
|
|
|
```
|
|
|
|
|
|
Cette commande, avec l'option `certonly`, va juste créer les certificats dans le dossier `/etc/letsencrypt/live/proxmox.gresille.org`.
|
|
|
|
... | ... | @@ -18,11 +18,11 @@ cp /etc/letsencrypt/live/proxmox.gresille.org/privkey.pem /etc/pve/nodes/proxmox |
|
|
Enfin il faut redémarrer PVE Proxmox pour que celui-ci charge les nouveaux certificats :
|
|
|
```
|
|
|
service pveproxy restart
|
|
|
```.
|
|
|
```
|
|
|
|
|
|
Ensuite ces certificats doivent être renouvelés quand ceux-ci arrivent à expiration. Certbot, ayant été installé via le paquet des dépôts Debian, est configuré pour les renouveler automatiquement (plus d'infos sur les renouvellement [ici](https://certbot.eff.org/docs/using.html#renewing-certificates)). Il est nécessaire d'ajouter quelques commandes à executer avant les tentatives de renouvellement (par exemple arréter un service qui pourrait géner la tentative) ou après (ici, on veut pouvoir placer les nouveaux certificats au bon endroit et redémarer pveproxy).
|
|
|
|
|
|
Les commandes peuvent être placées dans les sous-dossiers `pre` (commandes avant la tentative de renouvellement), `post` (commandes après la tentative de renouvellement), `deploys` (commandes après une tentative réussie de renouvellement) du dossier `/etc/letsencrypt/renewal-hooks/`. Dans notre cas nous allons ajouter un script à executer après un renouvellement réussi :
|
|
|
Les commandes peuvent être placées dans les sous-dossiers `pre` (commandes avant la tentative de renouvellement), `post` (commandes après la tentative de renouvellement), `deploys` (commandes après une tentative réussie de renouvellement) du dossier `/etc/letsencrypt/renewal-hooks/`. Dans notre cas nous allons ajouter un script à exécuter après un renouvellement réussi :
|
|
|
|
|
|
```
|
|
|
#! /bin/sh
|
... | ... | @@ -41,7 +41,7 @@ Enfin on peut tester la validité de notre configuration en executant un renouve |
|
|
```
|
|
|
certbot renew --dry-run
|
|
|
```
|
|
|
Lors de cette tentative, l'execution (du moins, la non-execution) des scripts de pré-post-deploy doit apparaître en rouge.
|
|
|
Lors de cette tentative, l'execution (du moins, la non-exécution) des scripts de pré-post-deploy doit apparaître en rouge.
|
|
|
|
|
|
Et c'est tout...
|
|
|
|
... | ... | |