Commit a1311dd2 authored by Maxime Vidori's avatar Maxime Vidori
Browse files

Change title hierarchie in blog post

parent a4ad8570
......@@ -9,13 +9,13 @@ Voilà 1 million de certificats [Let's Encrypt](//letsencrypt.org/) délivrés (
Pour rappel, Let's Encrypt, est un projet porté par l' « Internet Security Research Group » (ISRG), qui vise à automatiser, rendre accessible à tous, de manière ouverte et gratuite, des certificats SSL
# Génération
## Génération
Nous allons ici, ne pas utiliser le client officiel; Principalement parce qu'il intègre trop de fonctionnalités (serveur web intégré, …), mais aussi parce qu'il ne réponds pas vraiment aux besoins de cet article (arborescence flexible, serveur nginx, …; et que c'est plus facile à lire un script de 200 lignes qu'un énorme client…)
Le client que nous allons utiliser est donc le [acme-tiny](https://github.com/diafygi/acme-tiny) (écrit en python). Lors de mes pérégrinations sur la toile (oui ok ça fait un peu vieillot, j'aurais pu dire « alors que je surfais sur le web », … :-D), je suis tombé sur ce script [letsencrypt.sh](https://github.com/lukas2511/letsencrypt.sh). Le coté FQDN à un endroit, et le rechargement lorsque les AltNames changent sont des features appréciables. Après c'est du bash, donc comme vous voulez :)
## Création des certificats
### Création des certificats
De mon coté, j'ai opté pour une arborescence de ce type (certificats générés dans un répertoire dédié, avec un utilisateur dédié).
......@@ -152,17 +152,17 @@ Et vous voila donc avec une super config et du HTTPS automatisé, on peut aller
faire un tour sur [imirhil](https://tls.imirhil.fr/https/gitoyen.net) pour un
check de la conf et bien sûr pour pouvoir briller en société…
# Supervision
## Supervision
Bon c'est bien beau, mais avec tout ça les certificats sont valables que 90j
(oui mort à CertPatrol :-() mais pour le coup il va donc falloir superviser
tout cela.
## Via Certificate Monitor
### Via Certificate Monitor
Si vous utilisez le sympa [certificatemonitor](https://certificatemonitor.org/) ([code source](https://github.com/RaymiiOrg/certificate-expiry-monitor)) de Raymii, il suffit alors d'ajouter vos FQDN dans l'interface. Et ainsi recevoir une notification avant l'expiration de vos certificats.
## Via Checkmk
### Via Checkmk
Sinon si vous avez déjà une bonne veille supervision à base de nagios ou checkmk ou compatible, il suffit d'ajouter les checks via le script `check_http`.
......@@ -187,7 +187,7 @@ define command {
}
```
# Renouvellement
## Renouvellement
Il existe des scripts de renouvellement automatique:
......@@ -214,6 +214,6 @@ popd
systemctl restart nginx
```
# Chocolat
## Chocolat
Même si le modèle des CA et bancal, il n'y a plus de raison maintenant de ne pas proposer du HTTPS partout!
Supports Markdown
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment