sbi.re

Certificats SSL

Auteurices : flupe
Date d'ajout : 26 Juillet 2021
Modifié le : 25 Mars 2022
[source]

Tous nos sites sont accessibles en HTTPS. Les certificats sont renouvelés manuellement avec l’aide de dehydrated.

En tant que root, faire comme suit :

cd /etc/dehydrated
dehydrated -c -t dns-01 -k ./gandi-dns-hook.sh

La seconde commande communique directement avec l’API LiveDNS de Gandi pour ajouter et supprimer les enregistrements nécessaires aux défis DNS-01. La clé d’API est dans le fichier GANDI_API_KEY.

Ce script s’occupe de recharger les services qui utilisent les certificats, tels que nginx, prosody, dovecot ou OpenSMTPD. Mieux vaut vérifier que tout s’est déroulé comme il faut, mais a priori ça marche tout seul.

Il est parfois nécessaire de s’assurer que les nouveaux certificats soient lisibles par le groupe certs.

doas chown root:certs -R certs
doas chmod g+certs -R certs