aeris22’s avataraeris22’s Twitter Archive—№ 26,479

    1. …in reply to @cypou
      @cypou Tu ne peux pas le faire. Il n’y a qu’une seule machine qui peut renouveler le cert via le client LE… Les autres doivent recopier…
      Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
  1. …in reply to @aeris22
    @cypou Tu dois forcément renouveler le cert sur X, puis que tout le reste vienne taper sur X pour récupérer le cert + reload.
    On twitter.com Twitter logo aeris22’s avatar Mood -2 🙁
    1. …in reply to @aeris22
      @cypou Et en terme de synchro, c’est trop galère de tenter de dire que c’est du pull depuis X, c’est forcément du push depuis X.
      Permalink On twitter.com Twitter logo aeris22’s avatar Mood -3 🙁
      1. …in reply to @aeris22
        @cypou Pour avoir déjà commencer à réfléchir à ça, je n’ai trouvé actuellement qu’une seule solution viable. […]
        Permalink On twitter.com Twitter logo aeris22’s avatar Mood +1 🙂
        1. …in reply to @aeris22
          @cypou Il faut une machine qui ne servira qu’à renew les certs, qui centralise en plus tous les clefs privées. Tous les apache/nginx/ha […]
          Permalink On twitter.com Twitter logo aeris22’s avatar Mood +2 🙂
          1. …in reply to @aeris22
            @cypou font pointer leur .well-know dessus via une redir .well-know/xxx → 302 tls.example.org/.well-known/xxx (à tester si ACME supporte ça)
            Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
            1. …in reply to @aeris22
              @cypou Chaque mois, cette machine va lancer un trigger de renew acme sur l’ensemble des certs.
              Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
              1. …in reply to @aeris22
                @cypou Et une fois un cert renew, l’enverra via SCP sur l’ensemble des machines qui en ont besoin, suivi d’un reload du service (SSH root)
                Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0