Jour, On Fri, Apr 01, 2016 at 10:02:22AM +0200, Fonteneau Simon wrote: > Le 01/04/2016 09:56, Sylvain Vallerot a écrit : > > > > Il y a un autre "con" qui est de devoir libérer le port 80 le temps > > de faire la demande de certif/renouvellement (pour une opération > > automatique), la provenance de la requête servant à valider sa > > légitimité. > > Tu n'est pas obligée de libérer le port 80 si tu utilise > --standalone-supported-challenges tls-sni-01 avec let's encrypt .
Ou alors --webroot --webroot-path /path/to/htdocs Ou alors un proxy HTTP qui matche /.well-known/acme-challenge/ avec la méthode http-01 pour l'envoyer sur le container de validation. Ou alors un proxy TLS pass-through qui matche sur le label SNI avec la méthode tls-01 pour l'envoyer sur le container de validation. (hint: haproxy[1]). Ou alors en utilisant la méthode dns-01 avec /usr/bin/nsupdate, ce qui marche très bien avec certains des clients non-officiels. Les possibilités ne manquent pas :-) Sylvain [1] http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-name-indication-sni-tls-extension/
signature.asc
Description: Digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/