A la question de savoir si les enregistrement TLSA étaient pris en compte immédiatement, le site https://www.huque.com/bin/danecheck me confirme que oui.
Du coup, le renew des certificats génére une signature DNSSEC pour 6 mois ce qui fait qu'on a plus besoin de se préoccuper de la signature de zone. Par ailleurs je ne connaissais pas ce système de notifications slack intégrable dans les scripts, je trouve ça génial, je vais mettre à jour tous mes scripts.
J'ai testé ton script pour le wildcard en rajoutant les options suivantes :
certbot certonly --rsa-key-size 4096 --manual --preferred-challenges=dns --manual-auth-hook /mnt/docker/nsd/leadd.sh --manual-cleanup-hook /mnt/docker/nsd/ledel.sh --renew-hook "service nginx reload" --post-hook "update-mail-tlsa" ...
Cela fonctionne très bien et avec au final les paramètres renew
# Options used in the renewal process
[renewalparams]
installer = None
manual_cleanup_hook = /mnt/docker/nsd/ledel.sh
authenticator = manual
manual_public_ip_logging_ok = True
pref_challs = dns-01,
account = fd7a3565aba701........
server = https://acme-v02.api.letsencrypt.org/directory
manual_auth_hook = /mnt/docker/nsd/leadd.sh
rsa_key_size = 4096
post_hook = update-mail-tlsa
renew_hook = service nginx reload
Au final ton script est vraiment super et je souhaiterais adapter mon tuto avec si tu es d'accord de manière à pouvoir le garder disponible avant qu'il se noie parmi les autres posts. Si tu es ok pour déverrouiller le tuto 😉
Reste plus qu'à trouver un moyen de renouveler automatiquement les clés ZSK et KSK mais surtout de pouvoir incrémenter le fingerprint auprès de Gandi sans avoir a le faire manuellement .. peut être avec l'Api livedns de gandi, je vais creuser ..
Plutôt que de rentrer le fingerprint dans gandi, ne peut on pas tout simplement mettre un enregistrement (je sais pas quoi) 😗 dans le fichier de zone qui ferait le boulot ?