web-dev-qa-db-fra.com

Est-il possible de renouveler manuellement le certificat SSL de Let's Encrypt sans vérification de domaine?

Je suis sur un hébergement partagé sans accès SSH et j'y héberge plus de 20 domaines. Les domaines n'ayant pas d'adresse IP publique dédiée, j'utilise donc TLS/SNI avec un certificat SSL partagé pour tous les domaines que je peux télécharger dans l'administration de l'hébergement.

Étant donné que je n’ai pas accès à SSH sur le serveur, j’ai utilisé la méthode Let's Encrypt Manual ( http://letsencrypt.readthedocs.org/en/latest/using.html#manual ) sur un serveur local. ordinateur pour émettre le certificat.

Il a fallu beaucoup de temps pour valider tous les domaines (défis www + non-www = 20 * 2) et le certificat SSL va maintenant expirer (le certificat ne dure que 90 jours).

Il est possible de renouveler le certificat sans avoir à relever les défis? J'ai la clé privée pour le certificat, alors ne peuvent-ils pas valider les domaines en fonction?

httpssecurity-certificate
2
Joudicek Jouda

Comme dit Steffen , il n'est pas possible d'effectuer les renouvellements sans une nouvelle validation du domaine.

MAIS même sans accès SSH, il est possible d’automatiser la demande de renouvellement de Let's Encrypt, ce qui devrait résoudre votre problème de validation manuelle. Regardez: Lescript sur GitHub

Les défis sont complétés en créant les fichiers et les dossiers en utilisant PHP. La seule chose à faire est d'exécuter ce script tous les 90 jours. Il génère le certificat SSL dans votre racine Web et vous le téléchargez dans votre administration d'hébergement.

Les conditions de script sont les suivantes:

  • PHP 5.3 et plus
  • Extension OpenSSL
  • Extension de boucle

Avant d'exécuter le script, vous devez également désactiver toutes les règles .htaccessmod_rewrite qui réécrivent l'URL sous sa forme canonique. Sinon, lors de la validation de domain.com, il peut réécrire l'URL de validation sur www.domain.com et le challenge échouera.

2
lukaswojnar

Il est possible de renouveler le certificat sans avoir à relever les défis? J'ai la clé privée pour le certificat, alors ne peuvent-ils pas valider les domaines en fonction?

Avec la clé privée, vous ne pouvez que prouver que vous êtes en possession de la clé privée. Vous ne pouvez pas prouver que vous possédez le domaine aussi. Mais un certificat doit être utilisé pour valider l'accès à un hôte spécifique et non l'accès à une clé spécifique. C'est pourquoi vous devez valider à nouveau le domaine.

Imaginez si vous achetiez un domaine à quelqu'un et que celui-ci puisse créer un certificat pour le domaine pour les 50 prochaines années - simplement parce qu'il a déjà possédé le domaine, même s'il a été vendu il y a longtemps.

2
Steffen Ullrich