4 206
modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
Ligne 75 : | Ligne 75 : | ||
==Certificat SNI== | ==Certificat SNI== | ||
Lancez le client en mode <code>standalone</code> et en spécifiant les domaines/sous-domaines devant figurer dans le certificat avec un ou plusieurs argument <code>-d</code> : | ===Génération du certificat=== | ||
Afin de ne pas avoir à couper zimbra pendant la génération du certificat, on va jouer un peu avec iptables.<br> | |||
On autorise le port <code>8181</code> puis on redirige le port <code>80</code> vers le port <code>8181</code> : | |||
<pre> | |||
iptables -t filter -I INPUT -i eth0 -p tcp --dport 8181 -j ACCEPT | |||
ip6tables -t filter -I INPUT -i eth0 -p tcp --dport 8181 -j ACCEPT | |||
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8181 | |||
ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8181 | |||
</pre> | |||
Lancez le client en mode <code>standalone</code> et en spécifiant les domaines/sous-domaines devant figurer dans le certificat avec un ou plusieurs argument <code>-d</code>, et en spécifiant le port <code>8181</code> pour la validation des domaines : | |||
<pre>certbot certonly --preferred-challenges http --http-01-port 8181 --standalone -d mail.unscdf.org -d imap.unscdf.org -d pop.unscdf.org -d smtp.unscdf.org</pre> | |||
Vous pouvez ensuite enlever les règles iptables : | |||
<pre> | |||
iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8181 | |||
ip6tables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8181 | |||
iptables -t filter -D INPUT -i eth0 -p tcp --dport 8181 -j ACCEPT | |||
ip6tables -t filter -D INPUT -i eth0 -p tcp --dport 8181 -j ACCEPT | |||
</pre> | |||
=Wildcard / plus addressing= | =Wildcard / plus addressing= |