Le 01/04/2016 09:56, Sylvain Vallerot a écrit :
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 01/04/2016 09:30, Denis Fondras wrote:
(du coup, on doit avoir fait le tour des pours et des contres de LE)
Et le renouvellement tous les 90 jours ? C'est mon "no-go".
De fait c'est pénible, mais la possibilité de programmer le renouvellement en crontab compense presque ce défaut. Faut surveiller tout de même, mais on a des notifications par email quand un certif menace d'expirer.
Sur Gixe on a intégré la génération et le renouvellement dans un module puppet, ça c'est pas fait tout seul mais ça semble rouler finalement avec seulement 3 ko de template/manifest. Du coup, bye bye cacert.
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de faire la demande de certif/renouvellement (pour une opération automatique), la provenance de la requête servant à valider sa légitimité.
Tu n'est pas obligée de libérer le port 80 si tu utilise --standalone-supported-challenges tls-sni-01 avec let's encrypt .
Cdlt, -----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlb+KcoACgkQJBGsD8mtnRGRXgEArb7jBMIz3efWV7hwlMnhqJYK FqV2IGLbHORi16KOpGMA/3lbPjnMLkF0Rh9I5YALH4G0jxbimuZqDW5VzzJ+jbZx =UrQN -----END PGP SIGNATURE----- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/