Une idée de comment automatiser cela ?
Une idée de comment automatiser cela ?
Une idée de comment automatiser cela ?
salut la liste,
Je me suis mis à l'HTTPS pour chiffrer le traffic de mon petit site .
Tout fonctionne correctement côté Let's Encrypt et du certbot .
Config' :
Debian Jessie 8.7
certbot 0.9.3-1~bpo8+2
nginx-full 1.6.2-5+deb8u4
Hier, certbot a renouvelé mes certificats.
OK, tout s'est bien passé.
Mais si j'ouvre mon site, dans le détail du certificat, c'est toujou rs
l'ancien.
Sur mon serveur, il est bien renouvelé.
Je suppose que nginx a mis le certificat en cache.
Et qu'il faut donc redémarrer nginx.
Une idée de comment automatiser cela ?
Redémarrer nginx quand le certificat est renouvelé ?
Ajouter une dépendence dans systemd pour redémarrer nginx apr ès certbot
?
On se base sur le service certbot et une modif' du fichier cert.pem ?
Jean-Marc
salut la liste,
Je me suis mis à l'HTTPS pour chiffrer le traffic de mon petit site .
Tout fonctionne correctement côté Let's Encrypt et du certbot .
Config' :
Debian Jessie 8.7
certbot 0.9.3-1~bpo8+2
nginx-full 1.6.2-5+deb8u4
Hier, certbot a renouvelé mes certificats.
OK, tout s'est bien passé.
Mais si j'ouvre mon site, dans le détail du certificat, c'est toujou rs
l'ancien.
Sur mon serveur, il est bien renouvelé.
Je suppose que nginx a mis le certificat en cache.
Et qu'il faut donc redémarrer nginx.
Une idée de comment automatiser cela ?
Redémarrer nginx quand le certificat est renouvelé ?
Ajouter une dépendence dans systemd pour redémarrer nginx apr ès certbot
?
On se base sur le service certbot et une modif' du fichier cert.pem ?
Jean-Marc <jean-marc@6jf.be>
salut la liste,
Je me suis mis à l'HTTPS pour chiffrer le traffic de mon petit site .
Tout fonctionne correctement côté Let's Encrypt et du certbot .
Config' :
Debian Jessie 8.7
certbot 0.9.3-1~bpo8+2
nginx-full 1.6.2-5+deb8u4
Hier, certbot a renouvelé mes certificats.
OK, tout s'est bien passé.
Mais si j'ouvre mon site, dans le détail du certificat, c'est toujou rs
l'ancien.
Sur mon serveur, il est bien renouvelé.
Je suppose que nginx a mis le certificat en cache.
Et qu'il faut donc redémarrer nginx.
Une idée de comment automatiser cela ?
Redémarrer nginx quand le certificat est renouvelé ?
Ajouter une dépendence dans systemd pour redémarrer nginx apr ès certbot
?
On se base sur le service certbot et une modif' du fichier cert.pem ?
Jean-Marc
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ãa peut intéresser d'autre personnes...
Merci.
André
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ãa fonctionne depuis près d'un an sans souci. Pas de redé marrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il es t
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Désolé, je ne réponds pas à la question mais en pos e d'autres :
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ãa peut intéresser d'autre personnes...
Merci.
André
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ãa fonctionne depuis près d'un an sans souci. Pas de redé marrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il es t
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Désolé, je ne réponds pas à la question mais en pos e d'autres :
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ãa peut intéresser d'autre personnes...
Merci.
André
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ãa fonctionne depuis près d'un an sans souci. Pas de redé marrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il es t
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Désolé, je ne réponds pas à la question mais en pos e d'autres :
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Désolé, je ne réponds pas à la question mais en pose d'autres :
- combien de temps dure un certificat Let's Encrypt ?
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ça peut intéresser d'autre personnes...
Merci.
André
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:
J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Désolé, je ne réponds pas à la question mais en pose d'autres :
- combien de temps dure un certificat Let's Encrypt ?
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ça peut intéresser d'autre personnes...
Merci.
André
On Wednesday 22 February 2017 13:11:36 Thierry Bugier Pineau wrote:J'utilise Let's encrypt et nginx.
J'ai fait le choix de placer les certificats dans
l'arborescence /etc/nginx/ssl
Pour utiliser les certificats, j'ai examiné où Let's encrypt
maintient le certificat courant, et fait un lien symbolique
dessus pour nginx.
Ça fonctionne depuis près d'un an sans souci. Pas de redémarrage
de nginx à faire.
J'ai suivi les instructions de cette page pour l'essentiel; mais il est
peut être possible de faire plus simple, car Let's encrypt a
probablement évolué depuis.
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
Désolé, je ne réponds pas à la question mais en pose d'autres :
- combien de temps dure un certificat Let's Encrypt ?
- leur certificat est-il assez blindé ?
- est-il plus ou moins judicieux que celui de StartSSL ?
Ça peut intéresser d'autre personnes...
Merci.
André
leur certificat est-il assez blindé ?Qu'entendez vous par "blindé" ?
est-il plus ou moins judicieux que celui de StartSSL ?Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, jâétais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-st artcom-certificates/
https://support.apple.com/en-us/HT202858
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.ht ml
>leur certificat est-il assez blindé ?
Qu'entendez vous par "blindé" ?
> est-il plus ou moins judicieux que celui de StartSSL ?
Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, jâétais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-st artcom-certificates/
https://support.apple.com/en-us/HT202858
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.ht ml
leur certificat est-il assez blindé ?Qu'entendez vous par "blindé" ?
est-il plus ou moins judicieux que celui de StartSSL ?Le certificat racine de StartSSL vas être révoqué dans les prochaines
version de la plupart des navigateurs, jâétais chez eux avan t mais à la
suite de cette annonce je les ai fuit comme la peste. L'annonce en
question :
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-st artcom-certificates/
https://support.apple.com/en-us/HT202858
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.ht ml
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop ngi nx" --post-hook "systemctl start nginx"
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop ngi nx" --post-hook "systemctl start nginx"
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop ngi nx" --post-hook "systemctl start nginx"
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"
Donc, tu redémarres nginx tous les soirs ?
> Via cron :
>
> # crontab -e
> 43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"
Donc, tu redémarres nginx tous les soirs ?
Via cron :
# crontab -e
43 23 * * * /usr/bin/certbot --quiet renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"
Donc, tu redémarres nginx tous les soirs ?
On Wednesday 22 February 2017 14:50:58 Safranil wrote:>leur certificat est-il assez blindé ?
Qu'entendez vous par "blindé" ?
Il y a des certifcats gratuits et d'autres à 10.000â¬/an,
ça doit pas être les mêmes :-)
On Wednesday 22 February 2017 14:50:58 Safranil wrote:
> >leur certificat est-il assez blindé ?
>
> Qu'entendez vous par "blindé" ?
Il y a des certifcats gratuits et d'autres à 10.000â¬/an,
ça doit pas être les mêmes :-)
On Wednesday 22 February 2017 14:50:58 Safranil wrote:>leur certificat est-il assez blindé ?
Qu'entendez vous par "blindé" ?
Il y a des certifcats gratuits et d'autres à 10.000â¬/an,
ça doit pas être les mêmes :-)
Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :
--pre-hook PRE_HOOK
Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)
Et les logs montrent qu'effectivement, le serveur web n'est redémarr é
que lorsque le certificat doit effectivement être renouvelé.
Sébastien
Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :
--pre-hook PRE_HOOK
Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)
Et les logs montrent qu'effectivement, le serveur web n'est redémarr é
que lorsque le certificat doit effectivement être renouvelé.
Sébastien
Non, certbot est plus intelligent que cela, voici un extrait de la page
de man :
--pre-hook PRE_HOOK
Command to be run in a shell before obtaining any certificates.
Intended primarily for renewal, where it can be used to
temporarily shut down a webserver that might conflict with the
standalone plugin. *This will only be called if a certificate is
actually to be obtained/renewed*. When renewing several
certificates that have identical pre-hooks, only the first will be
executed. (default: None)
Et les logs montrent qu'effectivement, le serveur web n'est redémarr é
que lorsque le certificat doit effectivement être renouvelé.
Sébastien