Le 14 février 2026 Marc Chantreux a écrit : >> > la strat. donc c'est de faire un >> > >> > pass=$(curl -s http://secrets.lan/pass) >> >> En https c'est mieux et avec certificats encore mieux > > en théorie oui (et j'aurais du le signaler). > en pratique, je dois avouer que comme le boulot est bien divisé à > l'université, je n'ai jamais a m'occuper que de clicker sur un bouton et > copier 2 fichiers au bon endroit. je sais que tu peux wrapper busybox > ans un stunnel mais je ne sais pas si il peut autogénérer des > certificats (ce qui serait une solution intéressante pour le cas de > Pierre). > > il faudra un jour que je teste letsencrypt (que tout le monde me vend > comme super simple à utiliser). juste pas eu le temps.
letsencrypt est effectivement impeccable et simple pour les certificats serveurs : apt install certbot certbot certonly -d secrets.lan Bon après il faut mettre en place ce qu'il faut pour un renouvellement automatique (pour ma part un serveur http + script avec rsync où il faut). Donc ça validerait secrets.lan de façon transparente pour les utilisateurs qui ont le CA de letsencrypt. Mais je pensais surtout aux certificats utilisateurs. Perso j'ai opté pour une pki interne pour les générer. Ça valide les accès à secrets.lan qui utilise le CA interne pour ça.
