CDN dédié et renouvellement certificat HTTPS (API ?)

Cyrille37 2019-10-12 12:54:46 UTC #1

bonjour,

Je ne trouve pas la bonne pratique pour fonctionner avec le certificat https automatiquement géré par le CDN ; effectivement, il faut aussi un certificat pour le backend.

Du coup pour le renouvellement automatique, quelle est la bonne pratique ?

Faut-il utiliser l'API pour désactiver (bypass) le CDN le temps de générer le certificat sur le backend ?

Merci de vos lumière,s
Cyrille.

Cyrille37 2019-10-12 13:27:29 UTC #2

Je lis dans un thread qu'il utilise un certificat auto-signé côté backend, mais ça ne me semble pas correct car en cas de dépassement de quota du cdn ou peut être d'autre cas, le client arrivera directement sur le backend et le certificat auto-signé causera une erreur.

kyodev 2019-10-12 13:32:37 UTC #3

il y a quoi derrière le CDN?
pourquoi pas un certificat let's encrypt?

Cyrille37 2019-10-13 11:16:45 UTC #4

Le problème avec LetsEncrypt c'est qu'il doit joindre le serveur où sera installé le certificat. Donc lors de la génération (ou renouvellement) il y a échec car c'est le CDN qui répond à LetsEncrypt.
D'où ma question: Quelle est la bonne pratique ? Doit-on utiliser l'API pour désactiver (bypass) le CDN le temps de la génération/renouvellement ou y-a-t'il une pratique plus efficace ?

Cyrille37 2019-10-13 13:58:51 UTC #9

J'ai effacé mes messages précédents qui disaient n'importe quoi.

Cyrille37 2019-10-13 14:07:31 UTC #10

Quand on désactive le CDN : mode ByPass, le CDN change le "A" de sa destination:
- CDN ByPass : domain.com => CNAME domain.com.web.cdn.anycast.me => CNAME domain.com.direct.cdn.anycast.me => A (ip du backend)
- CDN actif : domain.com => CNAME com.web.cdn.anycast.me => CNAME 46-105-199-217.any.cdn.anycast.me => A 46.105.199.217 (ip ovh cache)

Du coup je maintiens que le certificat auto-signé sur le backend ne va pas puisqu'en cas de dépassement de quota le CDN va passer en mode ByPass et du coup les clients vont arrivés sur le backend qui aura un certificat invalide.

Il me semble que l'on est donc obligé d'utiliser l'API OVH :
- pour mettre en bypass le CDN le temps de renouveler le certificat
- puis, on peut pousser (via API) le certificat du backend sur le CDN, ou laisser le CDN renouveler son ccertificat automatiquement

Y-aurait-il une autre méthode ?

Cyrille37 2019-10-14 10:00:34 UTC #11

Je ne trouve pas de solution "propre".

Passer le CDN en ByPass impact le DNS, donc un temps de propagation qui n'est pas maîtrisé : Combien de temps laisser entre l'activation du ByPass et la demande LetsEncrypt ?

Cyrille37 2019-10-14 12:43:25 UTC #12

J'ai eu des réponses comme quoi LetsEncrypt n'est pas impacté par la propagation DNS car il interroge les DNS authorité. Du coup on pourrait désactiver le CDN et faire la demande LetsEncrypt dans la foulée.
Reste à essayer ;-)

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.