En effet, je n'ai pas pensé à mettre l'information sur les ressources DNS vérifiées, je vais l'ajouter car c'est très important pour correctement configurer son serveur DNS.
Pour l'update-ploicy, je vais aussi le mettre à jour dans l'exemple d'utilisation avec bind9. J'ai cherché un moyen pour créer une règle du style wildcard _acme-challenge.*.example.com, mais ce n'est pas possible.
Du coup, comme j'avais le nez dans ce problème, je n'ai pas pensé à chercher des solutions plus simples. Le problème de self est qu'il oblige à utiliser des CSR avec un seul domaine (et donc de faire un CSR et une configuration acme-dns-tiny par domaine à vérifier).
Je pense que je vais plutôt montrer un exemple de ce style:
key "_acme-challenge" {
...
};
zone "example.com" {
type master;
file "example.com.zone";
update-policy {
grant _acme-challenge name _acme-challenge.example.com TXT;
grant _acme-challenge name _acme-challenge.www.example.com TXT;
};
};
C'est un peu moins rapide à mettre en place que zonesub s'il y a beaucoup de sous-domaines à vérifier, mais c'est beaucoup plus sécurisé car les autorisations sont restreintes au minimum.
[^] # Re: Excellent, une remarque
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal Créer des certificats avec ACME/Let's Encrypt et des vérifications DNS. Évalué à 5.
Merci pour les retours.
En effet, je n'ai pas pensé à mettre l'information sur les ressources DNS vérifiées, je vais l'ajouter car c'est très important pour correctement configurer son serveur DNS.
Pour l'update-ploicy, je vais aussi le mettre à jour dans l'exemple d'utilisation avec bind9. J'ai cherché un moyen pour créer une règle du style
wildcard _acme-challenge.*.example.com, mais ce n'est pas possible.Du coup, comme j'avais le nez dans ce problème, je n'ai pas pensé à chercher des solutions plus simples. Le problème de
selfest qu'il oblige à utiliser des CSR avec un seul domaine (et donc de faire un CSR et une configuration acme-dns-tiny par domaine à vérifier).Je pense que je vais plutôt montrer un exemple de ce style:
C'est un peu moins rapide à mettre en place que
zonesubs'il y a beaucoup de sous-domaines à vérifier, mais c'est beaucoup plus sécurisé car les autorisations sont restreintes au minimum.Merci pour SIG(0), je ne connaissais pas ce protocole. Malheureusement, le module dnspython que j'utilise ne l'implémente pas : https://groups.google.com/forum/?hl=fr#!topic/dnspython-users/ZnssFZlA48o