Conseils sur l'utilisation de certificats Letsencrypt

--00000000000014e14f05b4f11068
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

Je viens d'obtenir avec certbot mon premier certificat Letsencrypt via le
challenge DNS-01 (cf [1]).
C'est l'occasion pour moi de d̓©finir ma fa̓§on de g̓©rer ces certificats.

Pour diff̓©rentes raisons (parmi elles, celle qui consiste ̓  ̓©viter
d'installer Certbot et des identifiants sensibles sur de multiples
machines), j'imagine centraliser la gestion (cr̓©ation, renouvellement,
suppression) des certificats sur une machine unique et de m̓©caniser, si
possible, la copie de ces certificats sur les machines o̓¹ ils sont
n̓©cessaires.

Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous les
certificats toutes les 12 heures:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system &&
perl -e 'sleep int(rand(43200))' && certbot -q renew

Pourtant lors de sa cr̓©ation, mon certificat est annonc̓© comme valide
jusqu'au 2021-02-23


1. Que pensez-vous de centraliser la gestion des certificats ?
2. Que conseillez-vous pour la fr̓©quence de renouvellement ?
3. Est-il possible de disposer simultan̓©ment d'un certificat wildcard
*.mondomaine.tld et d'un autre foo.mondomaine.tld ?
4. Quels usages l̓©gitimes pour un certificat wildcard, quand on peut cr̓©er
rapidement un nouveau certificat et qu'on veut pouvoir les r̓©pudier au cas
par cas ?
5. Comment sauvegarder la machine avec laquelle on g̓¨re ses certificats ?

[1] https://buzut.net/certbot-challenge-dns-ovh-wildcard/

Slts

--00000000000014e14f05b4f11068
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div>Bonjour,</div><div><br></div><div>Je viens d&#39;obtenir avec certbot mon premier certificat Letsencrypt via le challenge DNS-01 (cf [1]).</div><div>C&#39;est l&#39;occasion pour moi de d̓©finir ma fa̓§on de g̓©rer ces certificats.</div><div><br></div><div>Pour diff̓©rentes raisons (parmi elles, celle qui consiste ̓  ̓©viter d&#39;installer Certbot et des identifiants sensibles sur de multiples machines), j&#39;imagine centraliser la gestion (cr̓©ation, renouvellement, suppression) des certificats sur une machine unique et de m̓©caniser, si possible, la copie de ces certificats sur les machines o̓¹ ils sont n̓©cessaires.</div><div><br></div><div>Si j&#39;ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous les certificats toutes les 12 heures:</div><div>0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system &amp;&amp; perl -e &#39;sleep int(rand(43200))&#39; &amp;&amp; certbot -q renew</div><div><br></div><div>Pourtant lors de sa cr̓©ation, mon certificat est annonc̓© comme valide jusqu&#39;au 2021-02-23</div><div><br></div><div><br></div><div>1. Que pensez-vous de centraliser la gestion des certificats ?</div><div>2. Que conseillez-vous pour la fr̓©quence de renouvellement ?</div><div>3. Est-il possible de disposer simultan̓©ment d&#39;un certificat wildcard *.mondomaine.tld et d&#39;un autre foo.mondomaine.tld ?</div><div>4. Quels usages l̓©gitimes pour un certificat wildcard, quand on peut cr̓©er rapidement un nouveau certificat et qu&#39;on veut pouvoir les r̓©pudier au cas par cas ?</div><div>5. Comment sauvegarder la machine avec laquelle on g̓¨re ses certificats ?<br></div><div><br></div><div>[1] <a href="https://buzut.net/certbot-challenge-dns-ovh-wildcard/">https://buzut.net/certbot-challenge-dns-ovh-wildcard/</a></div><div><br></div><div>Slts<br></div></div>

--00000000000014e14f05b4f11068--