La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 24 mars 2020 à 17:50:00
-
Petit problème de renouvellement automatique du certificat Let's Encrypt sur https://pix.milkywan.fr/
(https://lafibre.info/images/ssl/202003_pb_renouvellement_lets_encrypt_1.png)
(https://lafibre.info/images/ssl/202003_pb_renouvellement_lets_encrypt_2.png)
Le renouvellement automatique ne fonctionne pas ?
Aujourd'hui je supervise mes certificats à la main, mais cela prend du temps, vous me conseillez quoi comme système qui fait des vérifications et qui alerte si il reste moins de 28 jours sur un certificat ?
Let's Encrypt envoi bien des mails, mais il doit y avoir mieux, non ?
-
C'est le proxy pour l'IP Legacy qui n'a pas reçu le certif, en IP Normale ça marchait bien.
Sinon un DM c'est plus pertinent qu'un thread sur lafibre pour parler d'un certif expiré, non ? :)
-
Déplacé hors de la section Milkywan.
Le but était d'en faire un cas plus large que l'incident.
-
Perso j'utilise LibreNMS pour monitorer mes serveurs, il y a un module pour tester des services, basés sur les scripts de nagios, et la plupart de ceux qui supportent TLS (http, imap et smtp dans mon cas) permettent de tester le certificat renvoyé et surtout sa date d'expiration.
J'ai mis un seuil d'alerte à 10 jours (parce que j'utilise acme.sh pour gérer mes certificats Let's Encrypt et il commence à essayer de renouveler à 10 jours de l'expiration), et j'envoie (enfin, LibreNMS) des notifications sur un canal privé sur discord et aussi sur télégram. Les notifications des applications associées sur mon mobile font le reste...
-
On a un certbot qui marche très bien, il renew à merveille, là c'était un souci interne entre notre vm v6 only et le proxy IPv4, donc pas vraiment pertinent comme cas d'école
-
Pour ma part j'utilise updown.io qui surveille à la fois la disponibilité d'une url ou domaine et le certificat ssl.
-
Ou simplement avec le mail de Let's Encrypt
Your certificate (or certificates) for the names listed below will expire in 10 days (on 01 Apr 20 19:35 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
-
Lego ( https://go-acme.github.io/lego/ ) binaire fichier unique est une alternative a Certbot.
Tres simple a utiliser: https://go-acme.github.io/lego/usage/cli/examples/
En plus il peut s'interfacer avec les API DNS de plein de registrars dont OVH et Scaleway si besoin.
Sinon j'utilise Caddy (https://caddyserver.com/v1/)comme serveur web donc il fait cela automatiquement.
On peut aussi mettre un reverse proxy devant le(s) serveur(s) web existant. Avec Caddy ou Traefik (https://containo.us/traefik/) qui utilise Lego.