|
|
| (5 révisions intermédiaires par le même utilisateur non affichées) |
| Ligne 1 : |
Ligne 1 : |
| − | == Installation de Cerbot == | + | == Présentation == |
| | + | Cette page a pour objet de lister les différentes mises en place de création/demande de renouvellement de certificat SSL de façon automatique avec Let's Encrypt selon les systèmes utilisés. |
| | | | |
| − | yum install python2-certbot-apache
| + | == Liste des pages == |
| − | | + | {{#subpages:default=''}} |
| − | == Installation sur un ESXi == | |
| − | | |
| − | Au regard de la complexité d'installation de cerbot et de ses dépendances sur un ESXi, il a été décidé de s'appuyer sur le package Acme du routeur/pare-feu pfSense pour générer le certificat et sur un script shell pour rapatrier ledit certificat sur l'ESXi.
| |
| − | | |
| − | === Créer les clés SSH ===
| |
| − | | |
| − | ssh-keygen n'étant pas présent sur le serveur ESXi, nous allons lancer la commande suivante sur un autre serveur Linux :
| |
| − | | |
| − | ssh-keygen -t rsa
| |
| − | | |
| − | Cela génère une clé privée ''.ssh/id_rsa'' et une clé publique ''.ssh/id_rsa.pub''.
| |
| − | | |
| − | Editer la clé publique ''.ssh/id_rsa.pub'', modifier le nom d'utilisateur et le nom d'hôte afin que cela corresponde avec l'utilisateur et le nom de l'ESXi.
| |
| − | | |
| − | Sur le serveur Linux, copier les clés SSH précédemment générées et les déposer sur le serveur ESXi dans un dossier .ssh créé à la racine du dossier home de l'utilisateur de l'ESXi.
| |
| − | | |
| − | Sur le serveur ESXi, sécuriser l'accès au dossier .ssh :
| |
| − | chmod 700 .ssh
| |
| − | chmod 600 .ssh/*
| |
| − | | |
| − | Au niveau du routeur/pare-feu pfSense, mettre en place les règles nécessaires afin de n'ajouter l'autorisation de connexion SSH qu'au serveur ESXi seulement.
| |
| − | | |
| − | Sur le routeur/pare-feu pfSense, se connecter en SSH en tant que root et créé un dossier .ssh à la racine du dossier home :
| |
| − | mkdir ~/.ssh
| |
| − | | |
| − | Editer un fichier ~/.ssh/authorized_keys et ajouter le contenu de la clé publique ''id_rsa.pub'' précédemment créée.
| |
| − | | |
| − | Sécuriser l'accès au dossier .ssh du routeur/pare-feu pfSense :
| |
| − | chmod 700 .ssh
| |
| − | chmod 600 .ssh/*
| |
| − | | |
| − | Depuis le serveur ESXi, faire un test de connexion SSH vers le routeur/pare-feu pfSense, la connexion devrait être fonctionnelle et ne pas demander de mot de passe.
| |
| − | | |
| − | === Sauvegarde des certificats par défaut ===
| |
| − | | |
| − | Sur le serveur ESXi, sauvegarder la clé privée et le certificat existants :
| |
| − | mv /etc/vmware/ssl/rui.crt /etc/vmware/ssl/rui.crt_sav20180618
| |
| − | mv /etc/vmware/ssl/rui.key /etc/vmware/ssl/rui.key_sav20180618
| |
