Let's Encrypt propose des certificats SSL gratuits pour tout le monde, et c'est la fête. Mais parfois, on a besoin de certificats pour des machines qui ne sont pas accessibles sur internet (don't ask 😁).

Mais il existe la possibilité de faire authentifier la requête de certificat par un challenge DNS, comme décrit sur la doc chez Let's Encrypt.

Tout est bon, à part que la génération de la clé TSIG a changé pour bind... 😅

La nouvelle commande est :

tsig-keygen -a HMAC-SHA512 <nom de l'hôte qui doit s'identifier>

Pour que je m'en rappelle plus tard...

Mon boulot loue des machines chez OVH, pour y mettre un ESXi et des machines virtuelles.

Et il se trouve qu'OVH a une organisation réseau un peu particulière, avec des passerelles qui ne sont pas dans le sous-réseau local...

Pour ne pas me faire chier plus tard, je renote ici les fichiers de conf pour Netplan. a.b.c.d est l'IPv4 de la machine, w.x.y.z l'IPv4 de l'hyperviseur, aaaa:bbbb:cccc:dddd::eeee l'IPv6 de la machine (mais c'est une vraie adresse celle-là en fait ?!), wwww:xxxx:yyyy:zzzz::uuuu l'IPv6 de l'hyperviseur, et ensAAA le nom de l'interface.

01-netcfg.yaml :

network:
version: 2
renderer: networkd
ethernets:
ensAAA:
dhcp4: no
addresses: [a.b.c.d/32]
gateway4: w.x.y.254
nameservers:
addresses: [1.1.1.1,8.8.8.8]
routes:
- to: w.x.y.254/32
via: 0.0.0.0
scope: link

66-ipv6.yaml :

network:
version: 2
ethernets:
ens160:
dhcp6: false
match:
macaddress: xx:xx:xx:xx:xx:xx
set-name: ensAAA
addresses:
- aaaa:bbbb:cccc:dddd::eeee/128
gateway6: wwww:xxxx:yyyy:zzFF:FF:FF:FF:FF
routes:
- to: wwww:xxxx:yyyy:zzFF:FF:FF:FF:FF
scope: link
nameservers:
addresses: [2606:4700:4700::64,2001:4860:4860::8888]

Attention, il faut indenter avec des espaces, pas des tab, sinon Netplan pleure.

Pendant confinement, j'ai aussi monté quelques serveurs Jitsi Meet. Je me disais que je pourrais faire un doc sympa pour l'installation, mais c'est déjà très bien pourvu, chez Jitsi, Linuxbabe et le wiki du collectif CHATONS. Je crois que je n'apporterais pas grand-chose de plus à l'édifice... 😅

Je note juste ici pour m'en rappeler plus tard que Ubuntu 20.10 installe un openjdk 15 par défaut, mais que Jitsi Meet utilise des fonctions qui en ont été retirées... Donc installer un openjdk antérieur (là le 8 pour être sûr, mais c'est bon jusqu'à au moins 11, d'après mon install Debian).

apt install openjdk-8-jre-headless

Et choisir la version par défaut :

/usr/bin/update-alternatives --config java

Et mon Jitsi Meet tourne. Dire que je me suis demandé pourquoi il ne fonctionnait pas pendant un jour, en réinstallant un Ubuntu vierge pour savoir si c'était moi, Jitsi ou Ubuntu... C'était Ubuntu. 😆

Auchan a des promos intéressantes sur les précommandes ces temps-ci, mais je ne m'attendais pas à une nouvelle baisse :

ggauchan

Bravo Auchan. 🤣