Le 25/02/2019 à 12:50, Daniel Caillibaud a écrit : > Le 23/02/19 à 16:49, Yann Serre <[email protected]> a écrit : >> Dans mes souvenirs : >> - mettre une config apache correcte pour joindre la racine publique du >> site en http >> - vérifier les autorisations d'écriture à la racine publique du site > > Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se > porte (à priori seul celui qui déploie doit pouvoir écrire, et personne > d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui > fait tourner un éventuel php/cgi/xxx) > >> - créer le certificat (qui va générer .well-known à la racine) >> - modifier la config apache pour forcer la racine publique du site en >> https > > sauf pour .well-known ! > > Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier > xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org > fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans > s) pour vérifier qu'on est bien gestionnaire du domaine > > Il faut donc configurer le serveur web pour qu'il aille > chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout > obligé de mettre ça dans le docroot du site concerné ! > > Par ex > - un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe > où), qui peut servir pour tous les domaines
Le dossier ".well-known" est actuellement utilisé par Let's Encrypt, mais d'autres usages vont arriver. Une RFC est sortie sur ce dossier : https://tools.ietf.org/html/rfc5785 Certain l'utilise déjà pour y stocker les favicons, robots.txt, sitemap... https://github.com/nhoizey/nicolas-hoizey.com/tree/master/.well-known https://github.com/nhoizey/nicolas-hoizey.com/blob/master/.htaccess#L724-L748 https://github.com/fvsch/scripts-and-snippets/blob/master/apache/rewrite-well-known.conf Si vous voulez utiliser un dossier commun pour tous les sites, il faut que l'alias soit sur l'adresse "/.well-known/acme-challenge". -- ============================================== | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[email protected] | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===========================Debian=GNU/Linux===
