Le 18591ième jour après Epoch, Olivier écrivait: > Bonjour, > > Je viens d'obtenir avec certbot mon premier certificat Letsencrypt via le > challenge DNS-01 (cf [1]).
Bravo ! > Pour différentes raisons (parmi elles, celle qui consiste à éviter > d'installer Certbot et des identifiants sensibles sur de multiples > machines), certbot n'est pas gourmand en mémoire et CPU, et il n'y a pas d'identifiants particuliers qui lui sont associés. > Si j'ai bien compris, le fichier /etc/crond.d/certbot renouvelle tous les > certificats toutes les 12 heures: > 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && > perl -e 'sleep int(rand(43200))' && certbot -q renew Non, il vérifie si ça doit ou non être renouvellé. Tu peux (mais est-ce nécessaire) modifier cette fréquence pour le faire tous les mois si tu veux, à condition que ta machine soit active à ce moment-là. > 1. Que pensez-vous de centraliser la gestion des certificats ? C'est un choix personnel. Je suis plutôt dans la politique "chacun sa merde", et ça m'évite un SPOF sur la machine qui renouvelle. > 2. Que conseillez-vous pour la fréquence de renouvellement ? Le out-of-the-box est très bien, non? > 3. Est-il possible de disposer simultanément d'un certificat wildcard > *.mondomaine.tld et d'un autre foo.mondomaine.tld ? > 4. Quels usages légitimes pour un certificat wildcard, quand on peut créer > rapidement un nouveau certificat et qu'on veut pouvoir les répudier au cas > par cas ? Jamais joué avec les wildcards pour le moment, et jamais eu besoin de répudier un certif. > 5. Comment sauvegarder la machine avec laquelle on gère ses > certificats ? Euh ... Pareil que pour le serveur postgreSQL ou nginx ? Ou bien un truc m'échappe ?