Partage de certificats Let’s Encrypt entre  plusieurs jails
===========================================================

Date: 2016-11-21 22:54
Author: jdn06
Category: Auto-hébergement
Tags: Let’s Encrypt, TLS

Let’s   Encrypt  est   vraiment  une   innovation  essentielle   pour
l’auto-hébergement.  Finis  les certificats  auto-signés  déclenchant
d’inquiétants  messages sur  les navigateurs  des non-initiés  et les
incitant à rebrousser chemin !  Les choses sont simples, bien faites,
automatisables et gratuites.

Reste que les certificats sont  stockés sur l’arborescence du serveur
web qui  assure le protocole  défi-réponse de vérification et  que le
système de liens  symboliques entre les répertoires  live et archive,
qui permet  de ne pas redémarrer  les services, complique un  peu les
choses  pour déplacer  les certificats  d’une jail  à l’autre  depuis
l’hôte.

La  solution la  plus  simple que  j’ai trouvée  c’est  de monter  en
lecture seule le dossier qui  contient les certificats sur les autres
jails qui  doivent y  avoir accès. Pour  un utilisateur  d’ezjail, il
suffit pour cela  d’éditer sur l’hôte dans /etc les  fichiers de type
fstab.majail1 en ajoutant une ligne permettant ce montage :

    /usr/jails/monserveurweb/usr/local/etc/letsencrypt/ \
    /usr/jails/majail1/etc/ssl/letsencrypt/ nullfs ro 0 0

On redémarre  la jail  et le  tour est joué !  Ce n’est cependant pas
parfait, car si  une seule jail est compromise, toutes  les clefs des
autres jails le seront aussi, mais il n’est pas possible de ne monter
que celles du site concerné, à  cause du système de liens symboliques
entre live et archive. Si donc  on reste sur des données personnelles
auto-hébergées, je pense qu’il s’agit d’un compromis acceptable entre
sécurité et facilité d’utilisation.
.