Différences

Ci-dessous, les différences entre deux révisions de la page.

--- procedures:internal_ca [2023/02/09 10:55] – gizmo
+++ procedures:internal_ca [2023/02/10 13:45] (Version actuelle) – gizmo
@@ Ligne 47: / Ligne 47: @@
     echo "Valid fqdn, generate certificate for ${FQDN}"
     openssl genrsa -out ${DEST_CERT}/${FQDN}.key 4096
+    chmod 0644 ${DEST_CERT}/${FQDN}.key
     openssl req -new -key "${DEST_CERT}/${FQDN}.key" \
             -sha512 \
@@ Ligne 60: / Ligne 61: @@
     exit 1
 fi
+```
+## Vhost delivery
+Sur rda.grif, y a un vhost qui permet d'accéder aux certificats :
+```
+server {
+    listen *:80;
+    server_name           rda.grif;
+    access_log /var/log/nginx/rootca.access.log;
+    error_log /var/log/nginx/rootca.error.log;
+    location / {
+        try_files $uri @redirect;
+    }
+    location @redirect {
+        return 301 https://$server_name$request_uri;
+    }
+}
+server {
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
+    server_name     rda.grif;
+    if ($host = 'grif' ) {
+            rewrite  ^/(.*)$  https://rda.grif/$1  permanent;
+    }
+    index  index.html index.htm index.php;
+    access_log            /var/log/nginx/rootca.access.log combined;
+    error_log             /var/log/nginx/rootca.error.log;
+    include /usr/local/etc/nginx/ssl.conf;
+    ssl_certificate /srv/internal_ca/services/rda.grif/rda.grif.chained.crt;
+    ssl_certificate_key /srv/internal_ca/services/rda.grif/rda.grif.key;
+    location / {
+        root      /srv/internal_ca/;
+        autoindex on;
+        location ~\.key {
+            allow 172.17.0.63; # web01.grif
+            deny all;
+        }
+        location ~\.(sh|srl|csr)$ {
+            deny all;
+        }
+    }
+}
 ```