Distribution EOLE

Lorsqu'on est en mode let's encrypt il y a différent soucis avec les noms de domaine.

Dans postservice/00-letsencrypt on a :

- un certificat que je qualifirais de "primaire" qui est généré pour le domaine "nom_domaine_machine" (et qui a éventuellement web_url comme nom de domaine alternatif), ce fichier est copier dans le fichier "%%server_pem" en hooks de Let's encrypt

- des certificats pour tous les domaines "le_extra_names" + si le reverse proxy est activé, les adresses gérés par le reverse proxy.

Les problèmes :

Si "nom_domaine_local" est un domain exclusivement local, il est impossible de générer des certificats LE.
Si on veut un nom de domaine alternatif autre que web_url ce n'est pas possible.

Cas concrêt :

Sur un Hâpy on met un Amon et un Scribe.
On demande au client un nom de domaine extérieur pour avoir accès au service, dans l'exemple la réponse est "example.com".

On configuré généralement le domaine local de l'Amon à example.com et le nom de domaine du scribe a doc.example.com (avec example.com comme web_url).

LE est configuré sur l'Amon, donc le certificat primaire de l'Amon est donc en "amon.example.com". Il faut donc que le client ajoute dans son DNS ce nom de domaine supplémentaire : amon.example.com.
En plus, le certificat example.com est demander pour le reverse proxy.
Si l'utilisateur veux accéder à Envole, pas de soucis, il tape "example.com". S'il veut accèder aux EAD (sur le port 4200 ou 4203) il doit obligatoirement taper "amon.example.com". Ce n'est vraiment pas pratique !

Lorsqu'on est en certificat auto signé, on n'a pas de soucis parce que les domaines sont ajoutés au subject altname.

Cela serait plus pratique si on pouvait définir les domaines du certificat primaire.