[Benevoles] (un peu off topic) Question technique comment migrer des certificats letsencrypt

[Sebastien Badia]

On Thu, Jan 07, 2021 at 03:11:35PM (+0100), "Fabien Bataille" via Benevoles wrote:
> 
> ----- Le 7 Jan 21, à 14:53, benevoles benevoles at listes.ldn-fai.net a écrit :
> 
> | Je vais peut être dire une connerie, mais tu as essayé de simplement
> | recopier toute la config certbot sur la nouvelle machine ? Tu aurais les
> | certificats générés, mais aussi la clef privée générée lors de la
> | première utilisation.
> | 
> | Comme ça tu fais ta migration au niveau DNS et la prochaine fois que
> | certbot renouvellera le certificat du domaine, ce sera avec la même
> | clef, mais juste depuis une autre IP.
> 
> Non pas encore essayé car j'avais peur qu'il y ait une interruption de service lors du changement DNS vers https sur le nouveau serveur.
> 
> Je pense qu'effectivement les certificats doivent être agnostiques de l'IP de la machine, mais bon, comme jamais encore fait.
> 
> J'essaierai de faire ça à un moment où il y a peu de trafic, pour pouvoir rapidement remettre l'ip vers l'ancien serveur en cas de pb.
> 
> Fabien

Hello,

En effet, les certificats sont agnostiques à l'IP en général (tu peux
vérifier avec la commande openssl).

Pour uniquement afficher le CN et le subjectAltName
* openssl x509 -noout -subject -ext subjectAltName -in ton-certificat.crt

Ou tout le certif
* openssl x509 -noout -text -in ton-certificat.crt

Mais donc la méthode de bouger tout (key+pem+cert) sur le nouveau
serveur, changer le DNS, et renouveller le certif une fois qu'il
arrivera à expiration sur le nouveau serveur devrait fonctionner.

Seb
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 833 octets
Desc: non disponible
URL: <http://listes.ldn-fai.net/pipermail/benevoles/attachments/20210128/71e03faf/attachment-0002.sig>