YunoHost/doc
1
0
Fork 0
mirror of https://github.com/YunoHost/doc.git synced 2024-09-03 20:06:26 +02:00
Code Issues Projects Releases Packages Wiki Activity

[enh] cermanager_fr: proofreading with grammalecte help.

Browse source
This commit is contained in:
Moul 2017-01-30 20:56:44 +01:00
parent cc97036052
commit c24cefa13e
1 changed files with 33 additions and 35 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

68
certmanager_fr.md
View file

@ -2,9 +2,9 @@
Gestion du certificat
======================
<div class="alert alert-danger">Cette fonctionnalité est seulement disponible sur la beta pour le moment. Elle devrait être rendue publique prochainement.</div>
<div class="alert alert-danger">Cette fonctionnalité est seulement disponible sur la bêta pour le moment. Elle devrait être rendue publique prochainement.</div>
Gérer les certificats avec Yunohost
Gérer les certificats avec YunoHost
-----------------------------------
La fonctionnalité principale du gestionnaire de certificat est de permettre l'installation
@ -12,7 +12,7 @@ de certificat Let's Encrypt facilement sur vos domaines. Vous pouvez l'utiliser
l'interface d'admin web (*Certificat SSL* sur la page d'info d'un domaine), ou avec
la ligne de commande avec `yunohost domain cert-status`, `cert-install` et `cert-renew`.
#### De quoi ai-je besoin pour avoir un certificat Let's Encrypt ?
#### De quoi ai-je besoin pour avoir un certificat Lets Encrypt ?
Votre serveur doit être accessible depuis le reste d'Internet sur le port 80 (et 443),
et le DNS de votre `nom.de.domaine.tld` doit être correctement configuré (i.e. le
@ -22,14 +22,14 @@ de [cette documentation](diagnostic_fr) si vous avez besoin d'aide.
#### Est-ce que mon certificat sera renouvelé automatiquement ?
Oui. À l'heure actuelle, les certificats Let's Encrypt sont valides pendant 90 jours.
Une tâche automatique (cron job) sera éxécutée tous les jours pour renouveller les certificats
Une tâche automatique (cron job) sera exécutée tous les jours pour renouveler les certificats
qui expirent dans moins de 15 jours. Un email sera envoyé à l'utilisateur root si le
renouvellement échoue.
#### Je souhaite/j'ai besoin d'utiliser un certificat d'une autre autorité de certification
#### Je souhaite/jai besoin dutiliser un certificat dune autre autorité de certification
Ceci n'est pas géré automatiquement pour le moment. Il vous faudra créer manuellement
un Requete de Signature de Certificat (CSR) qui devra être donné à votre CA, puis importer
une demande de signature de certificat (CSR) qui devra être donné à votre CA, puis importer
le certificat obtenu. Plus d'informations sur [cette page](certificate_fr). Ce processus sera
peut-être rendu plus facile par YunoHost dans le futur.
@ -39,12 +39,12 @@ Procédure de migration
> À cause des [limitations actuelles](https://letsencrypt.org/docs/rate-limits/)
sur la fréquence d'émissions de nouveaux certificats Let's Encrypt, nous recommandons que
vous ne **migriez pas** vers cette nouvelle fonctionnalité **tant que vous n'en avez pas besoin**.
C'est en particulier vrai pour les utilisateurs de nohost.me / nohost.st (et d'autres sevices de
C'est en particulier vrai pour les utilisateurs de nohost.me / nohost.st (et d'autres services de
nom de domaine gratuit qui partagent un sous-domaine commun). Si trop de monde migrent
pendant la même période, vous vous retrouverez peut-être bloqué avec un certificat auto-signé
pendant quelques jours !
#### J'ai utilisé l'application *letsencrypt_ynh*.
#### Jai utilisé lapplication *letsencrypt_ynh*.
Il vous sera demandé de désinstaller l'application pour pouvoir utiliser la nouvelle gestion
de certificat. Vous pouvez procéder à la désinstallation depuis l'interface web, ou bien depuis
@ -56,12 +56,12 @@ yunohost domain cert-install
```
Soyez conscients que la première commande devrait remettre en place des certificats
auto-signé sur vos domaines. La deuxième commande tentera ensuite d'installer un certificat
Let's Encrypt sur chacun de vos domaine ayant un certificat auto-signé.
auto-signés sur vos domaines. La deuxième commande tentera ensuite d'installer un certificat
Let's Encrypt sur chacun de vos domaines ayant un certificat auto-signé.
#### J'ai installé mes certificats Let's Encrypt manuellement
#### Jai installé mes certificats Lets Encrypt manuellement
Il vous faut aller dans la configuration nginx et retirer les fichiers `letsencrypt.conf` (ou le nom que
Il vous faut aller dans la configuration nginx et retirer les fichiers `letsencrypt.conf` (ou le nom que
vous lui avez donné et qui contient un bloc `location '/.well-known/acme-challenge'`) pour chacun
de vos domaines. Supprimez aussi la tâche automatique (certificateRenewer) dans `/etc/cron.weekly/`,
et backupez puis supprimer le répertoire `/etc/letsencrypt/`.
@ -77,29 +77,29 @@ pour chacun des domaines pour lesquels vous souhaitez avoir un certificat Let's
Dépannage
---------------
#### L'interface d'admin bloque l'accès à l'interface de gestion du certificat en prétendant que l'app letsencrypt est installée, pourtant elle n'est pas là !
#### Linterface dadmin bloque laccès à linterface de gestion du certificat en prétendant que lapp letsencrypt est installée, pourtant elle nest pas là !
Assurez-vous que le cache du navigateur est bien raffraîchi (Ctrl + Shift + R sur Firefox).
Si cela ne résouds pas le problème, rapportez votre expérience sur le bugtracker ou le forum.
Vous pouvez contourner le problème en utilisant la ligne de commande :
Assurez-vous que le cache du navigateur est bien rafraîchi (Ctrl + Shift + R sur Firefox).
Si cela ne résous pas le problème, rapportez votre expérience sur le bugtracker ou le forum.
Vous pouvez contourner le problème en utilisant la commande :
`yunohost domain cert-install your.domain.tld`.
#### J'ai essayé de désinstaller l'application Let's Encrypt, mais cela a cassé ma configuration nginx !
#### Jai essayé de désinstaller lapplication Lets Encrypt, mais cela a cassé ma configuration nginx !
Désolé. Quelques utilisateurs ont rapporé que cela arrive lorsque le script de désinstallation ne trouve pas
de backup des certificats auto-signés. Utiliser `yunohost domain cert-install` devrait tout de même fonctionner...
Désolé. Quelques utilisateurs ont rapporté que cela arrive lorsque le script de désinstallation ne trouve pas
de backup des certificats auto-signés. Utiliser `yunohost domain cert-install` devrait tout de même fonctionner
#### J'obtiens "Too many certificates already issued", que se passe-t-il ?
#### Jobtiens "Too many certificates already issued", que se passe-t-il ?
Pour l'instant, Let's Encrypt a mis en place un taux limite d'émission de certificat, qui
est de 20 nouveaux certificats pendant une période de 7 jours pour un sous-domaine donné.
Par exemple, les domaines `nohost.me` et `noho.st` sont considéré comme des sous-domaines
Par exemple, les domaines `nohost.me` et `noho.st` sont considérés comme des sous-domaines
(des domaines `me` et `st`). ce qui veut dire que tous les utilisateurs du service nohost.me / noho.st
partagent une même limite commune. D'après Let's Encrypt, ceci s'applique aux *nouveaux* certificats,
mais pas aux renouvellements ou duplications. Si vous rencontrez ce message, il n'y a donc pas grand
chose à faire autre que ré-essayer dans quelques heures/jours.
chose à faire dautre que ré-essayer dans quelques heures/jours.
#### L'installation du certificat échoue avec "Wrote file to 'un chemin', but couldn't download 'une url'" !
#### Linstallation du certificat échoue avec "Wrote file to 'un chemin', but couldn't download 'une url'" !
Cela devrait être réparé dans le futur, mais pour le moment vous pouvez tenter d'ajouter la ligne suivante
au fichier `/etc/hosts` du serveur :
@ -108,16 +108,16 @@ au fichier `/etc/hosts` du serveur :
127.0.0.1 your.domain.tld
```
 propos des certificats et de Let's Encrypt
À propos des certificats et de Lets Encrypt
------------------------------------
#### Qu'est-ce que HTTPS ? À quoi servent les certificats SSL ?
#### Quest-ce que HTTPS ? À quoi servent les certificats SSL ?
HTTPS est la version sécurisée du protocole HTTP, qui décrit comment un client
(par ex. votre navigateur web) et un serveur (par ex. nginx qui tourne sur votre instance
YunoHost) peuvent discuter entre eux. HTTPS s'appuie fortement sur la [cryptographie
asymmétrique](https://en.wikipedia.org/wiki/Public-key_cryptography) pour garantir
deux choses:
deux choses :
- la confidentialité, ce qui veut dire qu'un attaquant ne sera pas capable de déchiffrer le contenu d'une communication si elle est interceptée ;
- l'identification du serveur, ce qui veut dire qu'un serveur peut et doit prouver qui il prétend être, dans le but d'éviter les [attaques man-in-the-middle](https://en.wikipedia.org/wiki/Man-in-the-middle_attack).
@ -135,33 +135,33 @@ Un tel certificat ne permet pas de vérifier et garantir l'identité du serveur,
aurait tout aussi pu être généré par un attaquant de son côté, dans le but de réaliser
une attaque man-in-the-middle.
#### Que se passe-t-il avec Let's Encrypt ?
#### Que se passe-t-il avec Lets Encrypt ?
Historiquement, le processus de vérification de l'identité des serveurs demandait une
intervention humaine, donc du temps et de l'argent.
intervention humaine, donc du temps et de la monnaie.
En 2015, Let's Encrypt a développé un protocole nommé
[ACME](https://en.wikipedia.org/wiki/Automated_Certificate_Management_Environment),
qui permet de vérifier automatiquement qu'une machine contrôle un domaine, et de
délivrer un certificat gratuitement, réduisant drastriquement le coût de mise en place
délivrer un certificat gratuitement, réduisant drastiquement le coût de mise en place
d'un certificat SSL.
#### Comment marche Let's Encrypt ?
#### Comment fonctionne Lets Encrypt ?
Pour vérifier l'identité de votre serveur et délivrer un certificat, Let's Encrypt utilise
le [protocole ACME](https://en.wikipedia.org/wiki/Automated_Certificate_Management_Environment).
Il fonctionne grosso-modo de la manière suivante (simplifiée, mais vous comprendrez l'idée) :
- Un programme tourne sur votre serveur et contacte l'autorité de certification Let's Encrypt et
lui demande un certificat pour le domaine `jaimelecafe.com`.
- L'autorité de certification Let's Encrypt génère une chaîne de caractère aléatoire comme `A84F2D0B`, et
- L'autorité de certification Let's Encrypt génère une chaîne de caractères aléatoire comme `A84F2D0B`, et
dit au programme sur votre serveur de prouver qu'il gère le domaine `jaimelecafe.com` en rendant l'URI
`http://jaimelecafe.com/.well-known/acme-challenge/A84F2D0B` accessible.
- Le programme sur votre serveur créé/modifie des fichiers en conséquence.
- La CA Let's Encrypt tente d'accéder à l'URI. Si cela fonctionne, elle conclue que le programme contròle
- La CA Let's Encrypt tente d'accéder à l'URI. Si cela fonctionne, elle conclue que le programme contrôle
bien le domaine `jaimelecafe.com`, et lui délivre un certificat.
- Le programme sur votre serveur récupère le certificat et le met en place.
#### As-t-on vraiment besoin des autorités de certification ?
#### A-t-on vraiment besoin des autorités de certification ?
La dépendance aux autorités de certification peut être critiquée, car elles constituent des points centraux
vulnérables dans le schéma de sécurité. Certaines autorités ont été reconnues coupable d'avoir délivré
@ -171,5 +171,3 @@ de faux certificats par le passé, parfois avec des implications sérieuses et t
Des alternatives ont été proposées, comme [DANE/DNSSEC](https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities),
qui repose sur les DNS et ne nécessite pas d'autorité de certification.