Différences

Ci-dessous, les différences entre deux révisions de la page.

--- copy_letsencrypt_cert_to_keystore_java [2025/01/11 23:56] – inc002
+++ copy_letsencrypt_cert_to_keystore_java [2025/01/12 00:04] (Version actuelle) – inc002
@@ Ligne 5: / Ligne 5: @@
 == Prérequis ==
- * Un certificat Let's Encrypt généré via Certbot
+  * Un certificat Let's Encrypt généré via Certbot
- * Accès root sur les deux serveurs (source et destination)
+  * Accès root sur les deux serveurs (source et destination)
- * OpenSSL et Keytool installés
+  * OpenSSL et Keytool installés
- * SSH configuré entre les serveurs
+  * SSH configuré entre les serveurs
 == Configuration SSH sans mot de passe ==
 Sur le serveur source (où se trouve le certificat Let's Encrypt) :
-<syntaxhighlight lang="bash">
-# Générer la paire de clés
-ssh-keygen -t ed25519
-# Copier la clé vers le serveur de destination
+Générer la paire de clés
-ssh-copy-id root@serveur-destination
+  ssh-keygen -t ed25519
-</syntaxhighlight>
+Copier la clé vers le serveur de destination
+  ssh-copy-id root@serveur-destination
 == Script de déploiement ==
-Créer le script suivant dans /usr/local/bin/deploy_cert_mdm.sh :
+Créer le script suivant dans /usr/local/bin/deploy_cert.sh :
-<syntaxhighlight lang="bash">
+<code bash| hook_certbot.sh>
 #!/bin/bash
 # Configuration
-CERT_PATH="/etc/letsencrypt/live/mdm.murcier.fun"
+CERT_PATH="/etc/letsencrypt/live/domain.tld"
-MDM_SERVER="mdm.murcier.fun"
+MDM_SERVER="domain.tld"
 MDM_USER="root"
 KEYSTORE_PASSWORD="123456"
@@ Ligne 48: / Ligne 47: @@
     -in "$CERT_PATH/fullchain.pem" \
     -inkey "$CERT_PATH/privkey.pem" \
-    -out mdm.murcier.fun.p12 \
+    -out domain.tld.p12 \
     -name tomcat \
     -password pass:$KEYSTORE_PASSWORD
@@ Ligne 54: / Ligne 53: @@
 # Conversion en JKS
 keytool -importkeystore \
-    -srckeystore mdm.murcier.fun.p12 \
+    -srckeystore domain.tld.p12 \
     -srcstoretype PKCS12 \
     -srcstorepass $KEYSTORE_PASSWORD \
-    -destkeystore mdm.murcier.fun.jks \
+    -destkeystore domain.tld.jks \
     -deststoretype JKS \
     -deststorepass $KEYSTORE_PASSWORD
@@ Ligne 64: / Ligne 63: @@
 # Copie et configuration sur le serveur distant
-scp mdm.murcier.fun.jks $MDM_USER@$MDM_SERVER:$REMOTE_PATH/
+scp domain.tld.jks $MDM_USER@$MDM_SERVER:$REMOTE_PATH/
-ssh $MDM_USER@$MDM_SERVER "chown tomcat:tomcat $REMOTE_PATH/mdm.murcier.fun.jks && chmod 600 $REMOTE_PATH/mdm.murcier.fun.jks && systemctl restart tomcat9"
+ssh $MDM_USER@$MDM_SERVER "chown tomcat:tomcat $REMOTE_PATH/domain.tld.jks && chmod 600 $REMOTE_PATH/domain.tld.jks && systemctl restart tomcat9"
 # Nettoyage
@@ Ligne 72: / Ligne 71: @@
 echo "Déploiement terminé avec succès!"
-</syntaxhighlight>
+</code>
 === Installation du script ===
-<syntaxhighlight lang="bash">
-chmod +x /usr/local/bin/deploy_cert_mdm.sh
+  chmod +x /usr/local/bin/deploy_cert.sh
-ln -s /usr/local/bin/deploy_cert_mdm.sh /etc/letsencrypt/renewal-hooks/deploy/deploy_cert_mdm
+  ln -s /usr/local/bin/deploy_cert.sh /etc/letsencrypt/renewal-hooks/deploy/deploy_cert
-</syntaxhighlight>
 == Configuration Tomcat ==
 Le fichier server.xml doit contenir :
-<syntaxhighlight lang="xml">
+<code xml>
 <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
            maxThreads="150" SSLEnabled="true">
     <SSLHostConfig>
-        <Certificate certificateKeystoreFile="/var/lib/tomcat9/ssl/mdm.murcier.fun.jks"
+        <Certificate certificateKeystoreFile="/var/lib/tomcat9/ssl/domain.tld.jks"
                     certificateKeystorePassword="123456"
                     type="RSA" />
     </SSLHostConfig>
 </Connector>
-</syntaxhighlight>
+</code>
 == Test manuel ==
 Pour tester le renouvellement manuellement :
-<syntaxhighlight lang="bash">
-# Test à blanc
-certbot renew --dry-run
-# Renouvellement forcé
+Test à blanc
-certbot certonly --force-renewal -d votre.domaine.com
+  certbot renew --dry-run
-</syntaxhighlight>
+Renouvellement forcé
+  certbot certonly --force-renewal -d votre.domaine.com
 == Vérification ==
 Pour vérifier l'installation :
-<syntaxhighlight lang="bash">
-# Vérifier le statut de Tomcat
-systemctl status tomcat9
-# Vérifier le certificat
+Vérifier le statut de Tomcat
-curl -v https://votre.domaine.com:8443
+  systemctl status tomcat9
-</syntaxhighlight>
+Vérifier le certificat
+  curl -v https://votre.domaine.com:8443
 == Maintenance ==
-* Le renouvellement est automatique via Certbot
+  * Le renouvellement est automatique via Certbot
-* Le script s'exécute automatiquement après chaque renouvellement
+  * Le script s'exécute automatiquement après chaque renouvellement
-* Le certificat est renouvelé environ 30 jours avant expiration
+  * Le certificat est renouvelé environ 30 jours avant expiration
-* Vérifier les logs dans /var/log/letsencrypt/ en cas de problème
+  * Vérifier les logs dans /var/log/letsencrypt/ en cas de problème
 == Dépannage ==
 === Problèmes courants ===
-* '''Erreur de permissions''' : Vérifier les droits utilisateur tomcat
+  * ''Erreur de permissions'' : Vérifier les droits utilisateur tomcat
-* '''Erreur SSH''' : Vérifier la configuration SSH et les clés
+  * ''Erreur SSH'' : Vérifier la configuration SSH et les clés
-* '''Tomcat ne démarre pas''' : Vérifier les logs avec journalctl -u tomcat9
+  * ''Tomcat ne démarre pas'' : Vérifier les logs avec journalctl -u tomcat9
-* '''Certificat non renouvelé''' : Vérifier les logs Certbot
+  * ''Certificat non renouvelé'' : Vérifier les logs Certbot
 === Commandes utiles ===
-* Vérifier le contenu d'un keystore :
+  * Vérifier le contenu d'un keystore :
-<syntaxhighlight lang="bash">
-keytool -list -v -keystore keystore.jks
+  keytool -list -v -keystore keystore.jks
-</syntaxhighlight>
+  * Vérifier la validité du certificat :
-* Vérifier la validité du certificat :
+  openssl x509 -in fullchain.pem -text -noout
-<syntaxhighlight lang="bash">
-openssl x509 -in fullchain.pem -text -noout
-</syntaxhighlight>
 [[Category:Sécurité]]