cominfra/infra-generale
cominfra
/
infra-generale
8
1
Fork 0
Code Issues 27 Pull Requests Activity

Centralisation des certificats SSL/TLS : pour qui, quoi, comment ? #134

New Issue
Closed
opened 2023-10-16 15:07:43 +02:00 by neox · 0 comments
neox commented 2023-10-16 15:07:43 +02:00
Owner
Copy Link

La plupart du temps, la gestion des certificats devrait rester décentralisée (i.e chaque machine virtuelle gère son certificat, généré par challenge HTTP).

Cependant ce n'est pas toujours possible, notamment dans le cas de services où la présence d'un certificat racine est obligatoire, alors même que ces services ne sont pas accessible en HTTP par le domaine racine.

C'est le cas par exemple d'XMPP, qui nécessite de par la norme d'avoir un certificat pour le domaine racine et cinq ou six sous-domaines. Ce cas ne permet pas à la machine d'obtenir un certificat par un challenge HTTP, mais donc nécessite un certificat wildcard généré par challenge DNS.

Quels services dans l'infra (et côté Chalec) nécessitent un tel certificat ?

La plupart du temps, la gestion des certificats devrait rester décentralisée (i.e chaque machine virtuelle gère son certificat, généré par _challenge HTTP_). Cependant ce n'est pas toujours possible, notamment dans le cas de services où la présence d'un certificat racine est obligatoire, alors même que ces services ne sont pas accessible en HTTP par le domaine racine. C'est le cas par exemple d'XMPP, qui nécessite de par la norme d'avoir un certificat pour le domaine racine et cinq ou six sous-domaines. Ce cas ne permet pas à la machine d'obtenir un certificat par un _challenge HTTP_, mais donc nécessite un certificat _wildcard_ généré par challenge DNS. Quels services dans l'infra (et côté Chalec) nécessitent un tel certificat ?
neox self-assigned this 2023-10-16 15:07:43 +02:00
neox closed this issue 2023-10-16 15:07:43 +02:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
main
Labels
Clear labels   
suivi
  
adhésion

concerne une nouvelle inscription

  
amont

Ce problème a été signalé au projet amont

  
bloqué

Des raisons extérieures au ticket empêchent son avancement

  
bogue

Il s'agit d'un problème empêchant le bon fonctionnement d'un service

  
déploiement

Concerne le déploiement d'un nouveau projet

  
en cours

Actuellement traité

  
FSDG/RYF/libre

Touche au sujet de l'amélioration de l'état de liberté de l'infrastructure

  
matériel

Tâche ou problème liée à du matériel informatique

  
planifié

planifié/décidé lors d'une réunion ou une discussion de la commission

  
radiation

Concerne la radiation d'une personne

  
rejeté

Non résolvable car inrésolvable, faux problème ou autre raison

  
résolu

Tâche terminée ou problème résolu

  
vie privée/sécurité

Touche à des sujets sensibles et donc prioritaire

No Label
suivi
adhésion
amont
bloqué
bogue
déploiement
en cours
FSDG/RYF/libre
matériel
planifié
radiation
rejeté
résolu
vie privée/sécurité
Milestone
Clear milestone
No items
No Milestone
Assignees
Clear assignees
No Assignees
neox
1 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: cominfra/infra-generale#134
No description provided.
Delete Branch "%!s(<nil>)"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?