Title: Partage de certificats Let’s Encrypt entre plusieurs jails

Date: 2016-11-21 22:54

Author: jdn06

Category: Auto-hébergement

Tags: Let's Encrypt, TLS

Let’s Encrypt

est vraiment une innovation essentielle pour l’auto-hébergement. Finis les certificats auto-signés déclenchant d’inquiétants messages sur les navigateurs des non-initiés et les incitant à rebrousser chemin ! Les choses sont simples, bien faites, automatisables et gratuites.

Reste que les certificats sont stockés sur l’arborescence du serveur web qui assure le

protocole défi-réponse de vérification

et que le système de liens symboliques entre les répertoires live et archive, qui permet de ne pas redémarrer les services, complique un peu les choses pour déplacer les certificats d’une jail à l’autre depuis l’hôte.

La solution la plus simple que j’ai trouvée c’est de monter en lecture seule le dossier qui contient les certificats sur les autres jails qui doivent y avoir accès. Pour un utilisateur d’ezjail, il suffit pour cela d’éditer sur l’hôte dans `/etc` les fichiers de type `fstab.majail1` en ajoutant une ligne permettant ce montage :

On redémarre la jail et le tour est joué ! Ce n’est cependant pas parfait, car si une seule jail est compromise, toutes les clefs des autres jails le seront aussi, mais il n’est pas possible de ne monter que celles du site concerné, à cause du système de liens symboliques entre live et archive. Si donc on reste sur des données personnelles auto-hébergées, je pense qu’il s’agit d’un compromis acceptable entre sécurité et facilité d’utilisation.