Olivier a écrit : > Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous > les certificats toutes les 12 heures:
Non, il vérifie toutes les 12 heures si ces certificats doivent être renouvelés. Les certificats générés par Let's Encrypt ont une durée de validité de 3 mois, mais Certbot les renouvèle au bout de 2 mois (à moins qu'on ne réduise le paramètre renew_before_expiry et qu'on ramène le délai par exemple à 7 jours). > Pourtant lors de sa création, mon certificat est annoncé comme valide > jusqu'au 2021-02-23 C'est normal pour un certificat créé le 2020-11-23. > 1. Que pensez-vous de centraliser la gestion des certificats ? Bof, beaucoup de complications pour rien. Le seul cas de figure où la chose est intéressante, c'est lorsqu'on veut confier à Let's Encrypt la création de certificats pour des machines qui ne sont pas exposées (seul leur nom étant alors publié dans la zone DNS publique). Le « proxy » public dialogue alors avec les serveurs de Let's Encrypt et un outil maison distribue ensuite les certificats sur les machines qui en ont besoin en interne (et bien évidemment, dans ce cas, la résolution DNS interne ne donne pas le même résultat que la résolution DNS externe). > 2. Que conseillez-vous pour la fréquence de renouvellement ? Ils ne sont valides que 3 mois et il me semble inutile de vouloir les renouveler toutes les semaines. Pour ma part, je ramène juste le délai de renouvèlement avant échéance de 30 à 7 jours. > 3. Est-il possible de disposer simultanément d'un certificat wildcard > *.mondomaine.tld et d'un autre foo.mondomaine.tld ? Je n'ai jamais essayé, mais je pense que Certbot braille dans ce cas. > 4. Quels usages légitimes pour un certificat wildcard, quand on peut > créer rapidement un nouveau certificat et qu'on veut pouvoir les > répudier au cas par cas ? Dans les infrastructures cloud élastiques, pour lesquelles on ne connait pas à l'avance le nombre de serveurs et la ventilation des services. Mais dans ce cas, on réserve souvent le wildcard à un sous domaine. Par exemple : www.domain.tld gitlab.domain.tld *.cloud.domain.tld (et non *.domain.tld) > 5. Comment sauvegarder la machine avec laquelle on gère ses > certificats ? Comme toute autre machine, en n'oubliant pas de sauvegarder le répertoire /etc/letsencrypt. ;) Sébastien -- Sébastien Dinot, sebastien.di...@free.fr http://www.palabritudes.net/ Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
