Partage de certificats Let’s Encrypt entre plusieurs jails

Let’s Encrypt est vraiment une innovation essentielle pour l’auto-hébergement. Finis les certificats auto-signés déclenchant d’inquiétants messages sur les navigateurs des non-initiés et les incitant à rebrousser chemin ! Les choses sont simples, bien faites, automatisables et gratuites.

Reste que les certificats sont stockés sur l’arborescence du serveur web qui assure le protocole défi-réponse de vérification et que le système de liens symboliques entre les répertoires live et archive, qui permet de ne pas redémarrer les services, complique un peu les choses pour déplacer les certificats d’une jail à l’autre depuis l’hôte.

La solution la plus simple que j’ai trouvée c’est de monter en lecture seule le dossier qui contient les certificats sur les autres jails qui doivent y avoir accès. Pour un utilisateur d’ezjail, il suffit pour cela d’éditer sur l’hôte dans /etc les fichiers de type fstab.majail1 en ajoutant une ligne permettant ce montage :

/usr/jails/monserveurweb/usr/local/etc/letsencrypt/ /usr/jails/majail1/etc/ssl/letsencrypt/ nullfs ro 0 0

On redémarre la jail et le tour est joué ! Ce n’est cependant pas parfait, car si une seule jail est compromise, toutes les clefs des autres jails le seront aussi, mais il n’est pas possible de ne monter que celles du site concerné, à cause du système de liens symboliques entre live et archive. Si donc on reste sur des données personnelles auto-hébergées, je pense qu’il s’agit d’un compromis acceptable entre sécurité et facilité d’utilisation.

links

social