Archives de catégorie : GNU-Linux

Les certificats génériques gratuit de Let’s Encrypt

Bonjour,

Pour ceux qui ne suivent pas trop les nouvelles du monde des certificats, je vous rappelle que les certificats génériques gratuits vont faire leurs apparitions, grâce à Let’s Encrypt, le 27 Février 2018! et que depuis le 4 Janvier nous sommes en phase de tests.

First, we’re planning to introduce an ACME v2 protocol API endpoint and support for wildcard certificates along with it. Wildcard certificates will be free and available globally just like our other certificates. We are planning to have a public test API endpoint up by January 4, and we’ve set a date for the full launch: Tuesday, February 27.

Avant toute chose, qu’est-ce qu’un certificat générique ou wildcard certificate ?

Le principe est simple, au lieu de déclarer une multitude de sous domaines utilisables avec votre certificat (fig 1.),

fig 1.
fig 1.

vous pourrez créer un certificat automatiquement multi « sous » domaine. Il aura une déclaration de type *.exemple.com. D’autres emplois de l’ * (astérisque) sont également  envisageables. Attention, certaines règles régissent l’emploi de l’astérisque. Je vous invite à consulter un document sur les certificats génériques.

Préparez-vous pour le renouvellement de vos certificats en certificats génériques.

N’oubliez pas *.exemple.com ne prend pas en compte exemple.com. Donc pensez à générer vos certificats pour vos domaines et « sous » domaines

$ sudo certbot certonly <options> -d exemple.com -d *.exemple.com

En attendant que l’application Acme ne soit complètement stable, je vous invite à transmettre un paramètre supplémentaire pour que celle-ci utilise le bon endpoint

$ sudo certbot certonly --server https://acme-v02.api.letsencrypt.org/directory -d exemple.com -d *.exemple.com

Vous pouvez également placer ce paramètre dans le fichier /etc/letsencrypt/cli.ini

# This is an example of the kind of things you can do in a configuration file.
# All flags used by the client can be configured here. Run Certbot with
# "--help" to learn more about the available options.
#
# Note that these options apply automatically to all use of Certbot for
# obtaining or renewing certificates, so options specific to a single
# certificate on a system with several certificates should not be placed
# here.
#
# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096
#
# Uncomment and update to register with the specified e-mail address
email = e-mail@exemple.com
#
# Uncomment to use the standalone authenticator on port 443
authenticator = standalone
#standalone-supported-challenges = tls-sni-01
#
# Uncomment to use the webroot authenticator. Replace webroot-path with the
# path to the public_html / webroot folder being served by your web server.
#authenticator = webroot
#webroot-path = /usr/share/nginx/html
agree-tos = True
debug = False
#
server = https://acme-v02.api.letsencrypt.org/directory

Whois et les nouveaux TLD (Top Level Domains)

Bonjour à tous et à toutes,

Comme moi, vous êtes certainement resté bloqué devant des requêtes whois qui n’aboutissaient plus en raison de nouveaux TLD plus ou moins exotiques qui ont fait leurs apparitions.

Voici donc des solutions pour :

GNU-Linux

Pour ceux qui ne connaissent pas l’astuce, la voici. Il suffit d’ajouter vos nouveaux TLD dans le fichier /etc/whois.conf.

Voici le dernier whois.conf en date.

Vous devriez trouver sur le site de l’IANA, toutes les informations nécessaires concernant les TLD à l’adresse suivante :
Sinon, pour ceux qui ne veulent pas mourir sans connaitre un moyen de s’en sortir tout seul, je vous renvoie à l’excellent article de Jacob Hipps :

Windows

J’utilise, pour ma part, les outils Sysinternal. Cependant pour le whois de Microsoft™, je n’ai pas de solution pour le moment, hormis la méthode manuelle décrite ci-dessus.

Créer une route IPV6 manuellement sous RedHat, Centos, Fedora

Bonjour,

Vous aviez des routes IPV6 automatiquement crées grâce au ND – RA (Neighbor Discovery – Router Advertisement) du routeur de votre opérateur réseau. Récemment celui-ci à décider pour des raisons plus au moins fallacieuses de désactiver ce service, il ne vous reste plus qu’à configurer manuellement votre route. L’objectif étant qu’elle soit persistante. Et c’est là qu’on se marre.

Je ne vais parler ici que des releases Redhat Centos Fedora et j’expliquerais pourquoi je ne parle pas des autres à la fin. Dans le cas de figure présent, je ne montrerais pas comment faire de l’IPV6 dans un tunnel, mais uniquement du full IPV6.
En ce qui nous concerne 3 fichiers suffisent à configurer entièrement IPV6 dans vos ordinateurs ainsi que votre route par défaut.

J’aurais très bien pu me passer de ces fichiers et mettre en dur dans un /etc/rc.local l’ensemble des commandes à appliquer pour créer mon ip, définir le hosts de gateway et ma route par défaut. Mais utilisons plutôt les fichiers de configuration des mecs qui se sont pris la tête à les concevoir. On ne sait jamais…

Dans les fichiers ci-dessous, l’adresse utilisée est un exemple.

Le premier « /etc/sysconfig/network »
Celui-ci sert en gros à dire si vous activez ou non l’IPV6 ainsi que certains paramètres génériques.

NETWORKING_IPV6=yes
IPV6_AUTOCONF=no

Ai je vraiment besoin de traduire les deux lignes ci-dessus ?… (je rappel que l’on veux faire une configuration manuelle)

Le second  « /etc/sysconfig/network-scripts/ifcfg-eth0″
Celui-ci permettra de définir pour chacune de vos interfaces si vous voulez initialiser l’IPV6 et si oui quelle adresse possèdera-t-elle.

IPV6INIT=yes
IPV6ADDR=2001:DB8:1:B505:10:15:20:25

Par défaut l’adresse que vous définissez est comprise comme un /64. Soit 2001:DB8:1:B505::/64 (votre réseau) je vous laisse calculer le nombre d’adresses disponibles dans ce réseau.

Et le dernier « /etc/sysconfig/network-scripts/route6-eth0 »
Celui qui m’a donné du fil à retordre, par ce que dans un tout petit coin de la doc, il y a une ligne extrêmement importante qui explique que ce fichier ne fait pas que décrire les routes, il vous permet de définir des lignes de commandes qui seront passées au programme /sbin/ip -f inet6 route add <ligne 1> <ligne 2> <ligne n…>

Et çà, ça fait perdre un temps incalculable. Donc profiter de mon temps perdu.

2001:db8:1:b5ff:ff:ff:ff:ff/128 dev eth0 metric 1
::/0 via 2001:db8:1:b5ff:ff:ff:ff:ff dev eth0 metric 1

Comme vous pouvez le voir, j’ai une première ligne qui n’est pas une route.

– « Ben ça alors on est pas dans un fichier de routes ? Saleté de nom de fichier de [biiiiiiip] »

Pour info, les gateway de mon opérateur réseau se finissent par ff:ff:ff:ff:ff.
On prend le /56 de l’adresse de votre réseau en ajoutant 5 « ff ».

Mais çà, c’est chez mon opérateur. Le votre vous dira peut être autre chose.

Donc la première ligne permet de créer un adresse d’un host faisant office de gateway. La seconde ligne décrit la route par défaut ::/0 (toutes les adresses de votre machine) via votre gateway.

Voila.

Un petit « service network restart » et vous êtes fin pret pour utiliser l’IPV6.

Pour vous rassurer, faites donc un ping6 ipv6.google.com

Sinon, pour les autres Releases (Debian, Ubuntu, etc), le problème ne se pose pas de la même façon, puisqu’il n’y a pas de fichiers de configurations exotiques. Il suffit de vous rendre dans vos fichiers d’interfaces et d’ajouter les commandes qui permettent de créer vos ip, gateway et routes.