Le 01/04/2016 09:56, Sylvain Vallerot a écrit :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 01/04/2016 09:30, Denis Fondras wrote:
(du coup, on doit avoir fait le tour des pours et des contres de LE)
Et le renouvellement tous les 90 jours ? C'est mon "no-go".
De fait c'est pénible, mais la possibilité de programmer le renouvellement
en crontab compense presque ce défaut. Faut surveiller tout de même, mais
on a des notifications par email quand un certif menace d'expirer.
Sur Gixe on a intégré la génération et le renouvellement dans un module
puppet, ça c'est pas fait tout seul mais ça semble rouler finalement avec
seulement 3 ko de template/manifest. Du coup, bye bye cacert.
Il y a un autre "con" qui est de devoir libérer le port 80 le temps de
faire la demande de certif/renouvellement (pour une opération automatique),
la provenance de la requête servant à valider sa légitimité.
Tu n'est pas obligée de libérer le port 80 si tu utilise
--standalone-supported-challenges tls-sni-01 avec let's encrypt .
Cdlt,
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlb+KcoACgkQJBGsD8mtnRGRXgEArb7jBMIz3efWV7hwlMnhqJYK
FqV2IGLbHORi16KOpGMA/3lbPjnMLkF0Rh9I5YALH4G0jxbimuZqDW5VzzJ+jbZx
=UrQN
-----END PGP SIGNATURE-----
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
