• [^] # Re: Excellent, une remarque

    Posté par (site web personnel, Mastodon) . En réponse au journal Créer des certificats avec ACME/Let's Encrypt et des vérifications DNS. Évalué à 5.

    Merci pour les retours.

    En effet, je n'ai pas pensé à mettre l'information sur les ressources DNS vérifiées, je vais l'ajouter car c'est très important pour correctement configurer son serveur DNS.

    Pour l'update-ploicy, je vais aussi le mettre à jour dans l'exemple d'utilisation avec bind9. J'ai cherché un moyen pour créer une règle du style wildcard _acme-challenge.*.example.com, mais ce n'est pas possible.

    Du coup, comme j'avais le nez dans ce problème, je n'ai pas pensé à chercher des solutions plus simples. Le problème de self est qu'il oblige à utiliser des CSR avec un seul domaine (et donc de faire un CSR et une configuration acme-dns-tiny par domaine à vérifier).

    Je pense que je vais plutôt montrer un exemple de ce style:

    key "_acme-challenge" {
     ...
    };
    zone "example.com" {
     type master;
     file "example.com.zone";
     update-policy {
     grant _acme-challenge name _acme-challenge.example.com TXT;
     grant _acme-challenge name _acme-challenge.www.example.com TXT;
     };
    };
    

    C'est un peu moins rapide à mettre en place que zonesub s'il y a beaucoup de sous-domaines à vérifier, mais c'est beaucoup plus sécurisé car les autorisations sont restreintes au minimum.

    Merci pour SIG(0), je ne connaissais pas ce protocole. Malheureusement, le module dnspython que j'utilise ne l'implémente pas : https://groups.google.com/forum/?hl=fr#!topic/dnspython-users/ZnssFZlA48o