Ces instructions génèrent un certificat à l'aide de Let's Encrypt. 

Requirements

Le nom DNS (qui est inscrit dans le certificat) doit être résolu via le DNS et doit être routé vers l'adresse IP de l'équilibreur de charge.

Cette procédure ne peut être utilisée avant cela

Remarque: le renouvellement automatique du certificat n'est pas (encore) décrit par ces instructions.

Exécution

Installer Certbot

Le premier certbot est installé.

yum install certbot

Effacer le port 80

Il faut alors arrêter tout ce qui fonctionne sur le port 80. Sur l'équilibreur de charge, c'est généralement l'haproxie elle-même.

service haproxy stop

exécuter Certbot

Ensuite, le certbot est exécuté - il fonctionne sur le port 80, puis reçoit une demande de Let's Encrypt. 

Ici, il est important d'ajuster la première ligne - celle-ci doit correspondre EXACTEMENT aux noms DNS. 

FQDN_SERVERNAME=myserver.mydomain.com certbot certonly --standalone --preferred-challenges http --http-01-port 80 -d ${FQDN_SERVERNAME} -d ${FQDN_SERVERNAME}

Générer le PEM

Ensuite, le fichier .pem (contenant la chaîne de certificats complète et la clé privée) est généré.

cat /etc/letsencrypt/live/${FQDN_SERVERNAME}/fullchain.pem /etc/letsencrypt/live/${FQDN_SERVERNAME}/privkey.pem > /etc/haproxy/haproxy.pem

Nettoyer

Et à la fin, vous pouvez éventuellement nettoyer.

unset FQDN_SERVERNAME

Continuer

Then continue as described under Rolle LB - Zertifikate für Load-Balancer the certificate is now available in the file /etc/haproxy/haproxy.pem .