Différences
Ci-dessous, les différences entre deux révisions de la page.
| |
— | ssl:http [2019/09/10 17:07] (Version actuelle) – créée - modification externe 127.0.0.1 |
---|
| ====== TLS sur HTTP ====== |
| |
| ===== Sur grifon.fr ===== |
| |
| Parce que CAcert affiche un avertissement de sécurité pour les clients n'ayant pas ajouté les certificats racines de CAcert, nous utilisons <del>Gandi</del> Let's Encrypt sur grifon.fr et www.grifon.fr. Pour renouveler le certificat depuis gurvant : |
| |
| <code>sudo certbot certonly --rsa-key-size 4096 --webroot -w /var/www/letsencrypt/ --domains "grifon.fr,www.grifon.fr"</code> |
| |
| Pas besoin d'arrêter nginx avant de renouveler le certificat, mais il faut le relancer après (''sudo service nginx reload''). |
| |
| <note>Sauf erreur de configuration, les renouvellements de tous nos certificats web Let's Encrypt sont automatiques.</note> |
| |
| <del>Il faut également penser à [[services:dnssec#tlsa|mettre à jour l'enregistrement TLSA]] dans le DNS à chaque renouvellement (tous les 3 mois).</del> -> Normalement cette action n'est plus nécessaire car l'enregistrement TLSA doit maintenant être du type **3 1 2** (voir [[services:dnssec#tlsa|TLSA]]). Il faut cependant bien penser à ajouter l'enregistrement TLSA lors de la mise en place d'un nouveau certificat. |