Le 30/04/2018 à 13:58, Bruno Pagani a écrit : > Le 30/04/2018 à 12:14, Julien Escario a écrit : > >> Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit : >>> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque >>> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais tu >>> pourrais tricher en faisant un wildcart avec let's encrypt sur un serveur >>> publique puis en copiant (plus ou moins automatiquement) la clef sur ton >>> serveur >>> privé quand celle-ci change. >> Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de >> Bind). >> D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard >> avec L.E. >> >> Julien > > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je > crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever, > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans > ta zone. ;)
Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en interne avec TON API. Par exemple avec https://github.com/Neilpang/acme.sh : nsupdate API ISPConfig 3.1 API Knot DNS API DirectAdmin API Et plus cryptique (il faut que je teste à l'occaze) : PowerDNS.com API A priori, ça inclus bien l'API de ton pdns : #PDNS_Url="http://ns.example.com:8081"; Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non trivial). > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils > ont considéré que seul le contrôle de la zone DNS était une preuve > suffisante de la légitimité à demander un wildcard, ce avec quoi je suis > parfaitement d’accord). +1. Julien
<<attachment: julien_escario.vcf>>
signature.asc
Description: OpenPGP digital signature
