Let's Encrypt
Sommaire
Installation de Cerbot
yum install python2-certbot-apache
Installation sur un ESXi
Au regard de la complexité d'installation de cerbot et de ses dépendances sur un ESXi, il a été décidé de s'appuyer sur le package Acme du routeur/pare-feu pfSense pour générer le certificat et sur un script shell pour rapatrier ledit certificat sur l'ESXi.
Créer les clés SSH
ssh-keygen n'étant pas présent sur le serveur ESXi, nous allons lancer la commande suivante sur un autre serveur Linux :
ssh-keygen -t rsa
Cela génère une clé privée .ssh/id_rsa et une clé publique .ssh/id_rsa.pub.
Editer la clé publique .ssh/id_rsa.pub, modifier le nom d'utilisateur et le nom d'hôte afin que cela corresponde avec l'utilisateur et le nom de l'ESXi.
Sur le serveur Linux, copier les clés SSH précédemment générées et les déposer sur le serveur ESXi dans un dossier .ssh créé à la racine du dossier home de l'utilisateur de l'ESXi.
Sur le serveur ESXi, sécuriser l'accès au dossier .ssh :
chmod 700 .ssh chmod 600 .ssh/*
Au niveau du routeur/pare-feu pfSense, mettre en place les règles nécessaires afin de n'ajouter l'autorisation de connexion SSH qu'au serveur ESXi seulement.
Sur le routeur/pare-feu pfSense, se connecter en SSH en tant que root et créé un dossier .ssh à la racine du dossier home :
mkdir ~/.ssh
Editer un fichier ~/.ssh/authorized_keys et ajouter le contenu de la clé publique id_rsa.pub précédemment créée.
Sécuriser l'accès au dossier .ssh du routeur/pare-feu pfSense :
chmod 700 .ssh chmod 600 .ssh/*
Depuis le serveur ESXi, faire un test de connexion SSH vers le routeur/pare-feu pfSense, la connexion devrait être fonctionnelle et ne pas demander de mot de passe.
Sauvegarde des certificats par défaut
Sur le serveur ESXi, sauvegarder la clé privée et le certificat existants :
mv /etc/vmware/ssl/rui.crt /etc/vmware/ssl/rui.crt_sav20180618 mv /etc/vmware/ssl/rui.key /etc/vmware/ssl/rui.key_sav20180618
