dehydrated m'a trahi. J'ai :
PRIVATE_KEY_RENEW="no"
et il renouvelle quand même la clé privée :-(
https://github.com/lukas2511/dehydrated/issues/447 si quelqu'un a une idée. #dehydrated #ACME #LetsEncrypt
@bortzmeyer Dans ton snippet, je ne vois pas la génération d'une nouvelle clé:
https://github.com/lukas2511/dehydrated/blob/master/dehydrated#L745-L746
Tu peux peut-être préciser ce que tu constate (tu entends quoi par "il renouvelle") ?
@smortex La clé a changé, DANE proteste. J'ai dû changer l'enregistrement TLSA dans la zone.
@bortzmeyer Quand je lis http://www.bortzmeyer.org/6698.html et regarde _443._tcp.mercredifiction.bortzmeyer.org. je me dis que c'est normal 😄
"TLSA 1 0 1 3D...CC 9402F2A6"
Sélecteur (deuxième champ) → 0 → « l'enregistrement TLSA contient (dans son champ « Données ») le certificat complet ».
@smortex C'était bien ça, merci, la honte, j'aurais dû m'en apercevoir moi-même. (Le renouvellement change une partie des méta-données du certificat.)
En plus, c'est bien expliqué dans l'annexe A.1.2 du RFC 6698 http://www.bortzmeyer.org/6698.html #DANE
Merci beaucoup.
@bortzmeyer Hé-hé, au plaisir.