Tester un serveur de redirection HTTP pour Let's encrypt
Afin d'automatiser le renouvellement des certificats SSL nous utilisons le service de Let's encrypt. Ce service requière un renouvellement des noms de domaine tous les 90 jours. A chaque renouvellement, il vérifie que nous disposons toujours de l'autorité sur les noms de domaine. Ceci avec un challenge ACME.
Le Challenge ACME est une requête http de la forme:
Afin de s'assurer que le renouvellement des certificats SSL ne soit pas bloqué, il faut s'assurer que le challenge qui serait envoyé sur le nom de domaine pur (sans www) soit correctement transmis lors de la redirection vers le domaine avec www.
Pour tester que la redirection fonctionne correctement vous pouvez utiliser telnet avec un url qui ressemble à un challenge.
GET /.well-known/acme-challenge/fjiiV5EOKJjvrcjx6My4Epk4E HTTP/1.1
Host: <YOUR_DOMAIN>
User-Agent: Test
Où <YOUR DOMAIN> est le nom de domaine sans le www.
La réponse du serveur web doit être une redirection 301 ou 302 qui contient le challenge, exemple:
Exemple pour le domaine abc-web.ch
GET /.well-known/acme-challenge/fjiiV5EOKJjvrcjx6My4Epk4E HTTP/1.1
Host: abc-web.ch
User-Agent: Test
Réponse du serveur
Server: nginx
Content-Type: text/html
Location: http://www.abc-web.ch/.well-known/acme-challenge/fjiiV5EOKJjvrcjx6MyfQ2m1DTYAJKfw_DmBF4Epk4E
Cache-Control: max-age=10800
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN"
"http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<title>301 Moved Permanently</title>
</head>
<body>
<h1>Moved Permanently</h1>
<p>Object moved permanently -- see URI list</h1>
</body>
</html>
Il faut vérifier que l'url dans l'en-tête "Location" contienne tout le chemin avec le challenge identique et non pas juste le domaine précédé du www