Jour, On Fri, Apr 01, 2016 at 10:02:22AM +0200, Fonteneau Simon wrote:
Le 01/04/2016 09:56, Sylvain Vallerot a écrit :
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de faire la demande de certif/renouvellement (pour une opération automatique), la provenance de la requête servant à valider sa légitimité.
Tu n'est pas obligée de libérer le port 80 si tu utilise --standalone-supported-challenges tls-sni-01 avec let's encrypt .
Ou alors --webroot --webroot-path /path/to/htdocs Ou alors un proxy HTTP qui matche /.well-known/acme-challenge/ avec la méthode http-01 pour l'envoyer sur le container de validation. Ou alors un proxy TLS pass-through qui matche sur le label SNI avec la méthode tls-01 pour l'envoyer sur le container de validation. (hint: haproxy[1]). Ou alors en utilisant la méthode dns-01 avec /usr/bin/nsupdate, ce qui marche très bien avec certains des clients non-officiels. Les possibilités ne manquent pas :-) Sylvain [1] http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-n...