Jour,
On Fri, Apr 01, 2016 at 10:02:22AM +0200, Fonteneau Simon wrote:
Le 01/04/2016 09:56, Sylvain Vallerot a écrit :
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de faire la demande de certif/renouvellement (pour une opération automatique), la provenance de la requête servant à valider sa légitimité.
Tu n'est pas obligée de libérer le port 80 si tu utilise --standalone-supported-challenges tls-sni-01 avec let's encrypt .
Ou alors --webroot --webroot-path /path/to/htdocs
Ou alors un proxy HTTP qui matche /.well-known/acme-challenge/ avec la méthode http-01 pour l'envoyer sur le container de validation.
Ou alors un proxy TLS pass-through qui matche sur le label SNI avec la méthode tls-01 pour l'envoyer sur le container de validation. (hint: haproxy[1]).
Ou alors en utilisant la méthode dns-01 avec /usr/bin/nsupdate, ce qui marche très bien avec certains des clients non-officiels.
Les possibilités ne manquent pas :-)
Sylvain
[1] http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-n...