Cette page décrit le projet de centralisation des certificats Https.

Le principe est de configurer un unique serveur pour la gestion du https des nombreux sites du Crans.

Avantages :

• Un seul serveur où gérer les renouvellements de certificats
• Moins de surface d'exposition pour les nombreuses vm qui fournissent des sites webs
• Possibilité de se concentrer sur les réglages https optimaux à un seul endroit

Inconvénients :

• Rajoute un single point of failure (même si redondance envisageable)
• Ne résout les soucis de SSL que pour le http
• Performances ? (idem, redondance)
• Configuration moins "standard" que ce qu'on peut trouver comme tuto pour la mise en place de tout service https habituel

Actuellement, le serveur "bakdaur" a été créé afin de centraliser le https, notamment pour éviter les problèmes de rate-limit de la beta de letsencrypt: on génère un seul certificat de temps en temps, qui contient tous les noms de domaine, plutôt que pleins de petits certificats.

Un schema de principe résume la situation, avec deux alternatives possibles (fichiers statiques déservis par bakdaur ou le serveur initial).

Ticket phabricator: https://phabricator.crans.org/T9

Let's encrypt

Mode webroot

On évite de couper nginx pour renouveller/générer un certif LE, on utilise le mode webroot.

        location /.well-known/acme-challenge {
                alias /usr/share/nginx/html/.well-known/acme-challenge;
        }

Patte adh

Une fois le serveur proxifié, il n'est normalement plus nécessaire de lui laisser une patte sur le réseau adh. Si l'on souhaite toutefois le faire, la convention consiste à suffixer le nom du serveur par "-srv". Ainsi "discourse.crans.org" devient "discourse-srv.crans.org".