Modifications de « CransTechnique/Chiffrement/CentralisationHttps »

Modifications entre les versions 2 et 3

Cette page décrit le projet de centralisation des certificats Https.

Le principe est de configurer un unique serveur pour la gestion du https des nombreux sites du Crans.

Avantages :

Un seul serveur où gérer les renouvellements de certificats
Moins de surface d'exposition pour les nombreuses vm qui fournissent des sites webs
Possibilité de se concentrer sur les réglages https optimaux à un seul endroit

Inconvénients :

Rajoute un single point of failure (même si redondance envisageable)
Ne résout les soucis de SSL que pour le http
Performances ? (idem, redondance)
Configuration moins "standard" que ce qu'on peut trouver comme tuto pour la mise en place de tout service https habituel

Actuellement, le serveur "bakdaur" a été créé afin de centraliser le https, notamment pour éviter les problèmes de rate-limit de la beta de letsencrypt: on génère un seul certificat de temps en temps, qui contient tous les noms de domaine, plutôt que pleins de petits certificats.

Un schema de principe résume la situation, avec deux alternatives possibles (fichiers statiques déservis par bakdaur ou le serveur initial).

Ticket phabricator: https://phabricator.crans.org/T9

Let's encrypt

Mode webroot

On évite de couper nginx pour renouveller/générer un certif LE, on utilise le mode webroot.

        location /.well-known/acme-challenge {
                alias /usr/share/nginx/html/.well-known/acme-challenge;
        }

-  ⇤ ← Version 2 à la date du 2016-02-07 19:36:20 → 
  Taille: 1101
  Éditeur: WikiB2moo
  Commentaire:
+   ← Version 3 à la date du 2016-02-07 22:17:48 → ⇥
  Taille: 1630
  Éditeur: WikiB2moo
  Commentaire:
-Texte supprimé.
+Texte ajouté.
 Ligne 5:
-Avantages:
+Avantages :
 Ligne 10:
-Inconvénients:
+Inconvénients :
 Ligne 16:
-Actuellement, le serveur "bakdaur" a été créé afin de centraliser le Https, notamment pour bypasser la limite de certificats émis en période beta de letsencrypt (todo: lien)
+Actuellement, le serveur "bakdaur" a été créé afin de centraliser le https, notamment pour éviter les problèmes de [[https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769|rate-limit de la beta de letsencrypt]]: on génère un seul certificat de temps en temps, qui contient tous les noms de domaine, plutôt que pleins de petits certificats.
-Ligne 18:
+Ligne 19:
+Ticket phabricator: https://phabricator.crans.org/T9

== Let's encrypt ==
=== Mode webroot ===
On évite de couper nginx pour renouveller/générer un certif LE, on utilise le mode webroot.
{{{
        location /.well-known/acme-challenge {
                alias /usr/share/nginx/html/.well-known/acme-challenge;
        }
}}}