Cette page décrit le projet de centralisation des certificats Https.

Le principe est de configurer un unique serveur pour la gestion du https des nombreux sites du Crans.

Avantages :
 * Un seul serveur où gérer les renouvellements de certificats
 * Moins de surface d'exposition pour les nombreuses vm qui fournissent des sites webs
 * Possibilité de se concentrer sur les réglages https optimaux à un seul endroit

Inconvénients :
 * Rajoute un single point of failure (même si redondance envisageable)
 * Ne résout les soucis de SSL que pour le http
 * Performances ? (idem, redondance)
 * Configuration moins "standard" que ce qu'on peut trouver comme tuto pour la mise en place de tout service https habituel

Actuellement, le serveur "bakdaur" a été créé afin de centraliser le https, notamment pour éviter les problèmes de [[https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769|rate-limit de la beta de letsencrypt]]: on génère un seul certificat de temps en temps, qui contient tous les noms de domaine, plutôt que pleins de petits certificats.

[[attachment:centralisation_ssl.svg|Un schema de principe]] résume la situation, avec deux alternatives possibles (fichiers statiques déservis par bakdaur ou le serveur initial).

Ticket phabricator: https://phabricator.crans.org/T9

== Let's encrypt ==
=== Mode webroot ===
On évite de couper nginx pour renouveller/générer un certif LE, on utilise le mode webroot.
{{{
        location /.well-known/acme-challenge {
                alias /usr/share/nginx/html/.well-known/acme-challenge;
        }
}}}

== Patte adh ==
Une fois le serveur proxifié, il n'est normalement plus nécessaire de lui laisser une patte sur le réseau adh. Si l'on souhaite toutefois le faire, la convention consiste à suffixer le nom du serveur par "-srv". Ainsi "discourse.crans.org" devient "discourse-srv.crans.org".