Auteur : Daniel Caron
Dernière mise à jour : Mars 2026
Deux types de certificats à renouveler :
| Type | Validité | Renouvellement | Serveur |
|---|---|---|---|
| Let's Encrypt | 90 jours | Automatique (Certbot) | whvu1010 |
| PKI interne | 398 jours | Manuel (sign-cert.ps1) |
whvu1515, phhv01, whvu2020 |
Un cron sur whvd9999 envoie une alerte 30 jours avant l'expiration des certificats PKI internes.
Note : Pas de monitoring externe en place actuellement — surveiller les alertes du cron.
Certbot configure automatiquement un systemd timer qui tente le renouvellement deux fois par jour. Aucune intervention manuelle requise en temps normal.
Vérifier le statut du timer :
ssh [email protected]
sudo systemctl status certbot.timer
Vérifier les certificats actifs et leur expiry :
sudo certbot certificates
⚠️ Seulement si nécessaire — par exemple si le renouvellement automatique a échoué.
sudo certbot renew --dns-cloudflare \
--dns-cloudflare-credentials /home/ubuntuadmin/.secrets/cloudflare.ini
Pour forcer le renouvellement d'un certificat spécifique avant expiration :
sudo certbot renew --dns-cloudflare \
--dns-cloudflare-credentials /home/ubuntuadmin/.secrets/cloudflare.ini \
--cert-name wiki.carontech.net --force-renewal
Après renouvellement, recharger Nginx :
sudo systemctl reload nginx
| Domaine | Expiry | Chemin |
|---|---|---|
photos.carontech.net |
2026-05-24 | /etc/letsencrypt/live/photos.carontech.net/ |
wiki.carontech.net |
2026-06-19 | /etc/letsencrypt/live/wiki.carontech.net/ |
Le script détecte automatiquement si un certificat est dans la fenêtre de renouvellement (30 jours) et avertit si le renouvellement est prématuré.
Depuis la station admin Windows :
.\sign-cert.ps1 -server <hostname> -verbose
Le script :
index.txt de la CA| Serveur | Expiry | SANs |
|---|---|---|
phhv01 |
à vérifier | phhv01.home.carontech.net, proxmox.home.carontech.net |
whvu1515 |
2027-04-23 | whvu1515.home.carontech.net, wiki.carontech.net, photos.carontech.net |
whvu2020 |
à vérifier | whvu2020.home.carontech.net, immich.home.carontech.net |
Si le script avertit que le renouvellement est prématuré (> 30 jours avant expiry) mais qu'on veut forcer quand même :
.\sign-cert.ps1 -server <hostname> -verbose
# Le script demande confirmation : répondre "o"
Le déploiement Unifi est manuel — le script sign-cert.ps1 génère le certificat et le laisse sur la station admin dans C:\pki-temp\crt\.
.\sign-cert.ps1 -server unifi -verbose
Le fullchain est disponible localement : C:\pki-temp\crt\unifi-fullchain.crt
unifi-fullchain.crtopenssl x509 -in /etc/pki/certs/whvu1515-fullchain.crt -noout -enddate
openssl x509 -in /etc/pki/certs/whvu1515-fullchain.crt -noout -text | grep -A1 'Subject Alternative Name'
echo | openssl s_client -connect wiki.carontech.net:443 -servername wiki.carontech.net 2>/dev/null | openssl x509 -noout -enddate
sudo certbot certificates
sign-cert.ps1 exécuté avec -dryrun d'abord