text/gemini;lang=fr-FR
Title: Partage de certificats Let’s Encrypt entre plusieurs jails
Date: 2016-11-21 22:54
Author: jdn06
Category: Auto-hébergement
Tags: Let's Encrypt, TLS
=> https://letsencrypt.org Let’s Encrypt
est vraiment une innovation essentielle pour l’auto-hébergement. Finis les certificats auto-signés déclenchant d’inquiétants messages sur les navigateurs des non-initiés et les incitant à rebrousser chemin ! Les choses sont simples, bien faites, automatisables et gratuites.
Reste que les certificats sont stockés sur l’arborescence du serveur web qui assure le
=> https://en.wikipedia.org/wiki/Automated_Certificate_Management_Environment protocole défi-réponse de vérification
et que le système de liens symboliques entre les répertoires live et archive, qui permet de ne pas redémarrer les services, complique un peu les choses pour déplacer les certificats d’une jail à l’autre depuis l’hôte.
La solution la plus simple que j’ai trouvée c’est de monter en lecture seule le dossier qui contient les certificats sur les autres jails qui doivent y avoir accès. Pour un utilisateur d’ezjail, il suffit pour cela d’éditer sur l’hôte dans `/etc` les fichiers de type `fstab.majail1` en ajoutant une ligne permettant ce montage :
```
/usr/jails/monserveurweb/usr/local/etc/letsencrypt/ /usr/jails/majail1/etc/ssl/letsencrypt/ nullfs ro 0 0
```
On redémarre la jail et le tour est joué ! Ce n’est cependant pas parfait, car si une seule jail est compromise, toutes les clefs des autres jails le seront aussi, mais il n’est pas possible de ne monter que celles du site concerné, à cause du système de liens symboliques entre live et archive. Si donc on reste sur des données personnelles auto-hébergées, je pense qu’il s’agit d’un compromis acceptable entre sécurité et facilité d’utilisation.
This content has been proxied by September (ba2dc).