J'installe Certbot.
J'utilise la méthode Webroot pour la création des certificats Let's Encrypt.

# certbot certonly --email email@example.com --webroot -w /var/lib/letsencrypt/ -d domain.tld,sub.domain.tld --rsa-key-size 4096

Ensuite un service systemd est activé par un timer pour vérifier la validité du certificat.

Un remplacement de Yaourt ?
En test…

Voir : https://forums.archlinux.fr/viewtopic.php?f=18&t=20141

Plus prudent de faire un :

$ sudo pacman -Syu
$ yay -Syu

Pour le renouvellement des certificats, après de mémoire la création manuelle, j'ai le fichier de conf /etc/letsencrypt/renewal/nom-de-domaine.conf

# renew_before_expiry = 30 days
version = 0.24.0
cert = /etc/letsencrypt/live/nom-de-domaine/cert.pem
privkey = /etc/letsencrypt/live/nom-de-domaine/privkey.pem
chain = /etc/letsencrypt/live/nom-de-domaine/chain.pem
fullchain = /etc/letsencrypt/live/nom-de-domaine/fullchain.pem
archive_dir = /etc/letsencrypt/archive/nom-de-domaine

# Options used in the renewal process
[renewalparams]
authenticator = standalone
installer = None
rsa_key_size = 4096
account = f21ccne3+mx77bfienf3091df9375b28
post_hook = /usr/bin/systemctl start httpd.service
pre_hook = /usr/bin/systemctl stop httpd.service
#manual_public_ip_logging_ok = True

Le renouvellement se fait grâce à un service activer par un timer.

Le service /etc/systemd/system/certbot.service :

[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop httpd.service" --post-hook "/usr/bin/systemctl start httpd.service" --quiet --agree-tos

Le timer /etc/systemd/system/certbot.timer :

[Unit]
Description=Daily renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=weekly
RandomizedDelaySec=2day
Persistent=true

[Install]
WantedBy=timers.target

Ça va servir !

Création du service dnscrypt-update-resolver :

# vim /etc/systemd/system/dnscrypt-update-resolver.service

Et on colle :

[Unit]
Description=mise à jour des résolveur Dnscrypt

[Service]
Type=oneshot
ExecStart=/bin/bash /opt/Scripts/dnscrypt-update-resolver.sh

On créer le timer dnscrypt-update-resolver :

# vim /etc/systemd/system/dnscrypt-update-resolver.timer

Et on colle :

[Unit]
Description=mise à jour résolveur dnscrypt une fois par jour

[Timer]
OnCalendar=daily
Persistent=true
Unit=dnscrypt-update-resolver.service

[Install]
WantedBy=timers.target

Placer le script dnscrypt-update-resolver.sh dans /opt/Scripts/

# vim /opt/Scripts/dnscrypt-update-resolver.sh

Et on colle :

#! /bin/sh

PKG_DATA_DIR="/usr/share/dnscrypt-proxy"
RESOLVERS_FILE="${PKG_DATA_DIR}/dnscrypt-resolvers.csv"
RESOLVERS_FILE_TMP="${RESOLVERS_FILE}.tmp"

RESOLVERS_URL="https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv"
RESOLVERS_SIG_URL="${RESOLVERS_URL}.minisig"
RESOLVERS_SIG_PUBKEY="RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3"

echo "Sauvegarde list résolveur"
cp "$RESOLVERS_FILE" "$RESOLVERS_FILE.bak"
echo "Updating the list of public DNSCrypt resolvers..."
curl -L "$RESOLVERS_URL" -o "$RESOLVERS_FILE_TMP" || exit 1
if $(which minisign > /dev/null 2>&1); then
  curl -L -o "$RESOLVERS_FILE_TMP.minisig" "$RESOLVERS_SIG_URL" || exit 1
  minisign -V -P "$RESOLVERS_SIG_PUBKEY" -m "$RESOLVERS_FILE_TMP" || exit 1
  mv -f "${RESOLVERS_FILE_TMP}.minisig" "${RESOLVERS_FILE}.minisig"
fi
mv -f "$RESOLVERS_FILE_TMP" "$RESOLVERS_FILE"
echo "Done"

On teste le timer :

# systemctl start dnscrypt-update-resolver.timer

Si c’est ok alors on active le timer :

# systemctl enable dnscrypt-update-resolver.timer

Le Reddit d’archlinux.

yaourt -G nom-du-paquet
cd nom-du-paquet
nano PKGBUILD
makepkg -s
yaourt -U nom-du-paquet.tar.xz

En clair ? Je récupère la recette, je l’examine et je la fais compiler avant de l’installer

Suite à une mise à jour sous Archlinux, il y a conflit entre harfbuzz et Infinality ( rendu de police ).
Pour retrouver un joli rendu de police, suivre le guide

Installer reflector :

sudo pacman -S reflector

Mixer les résultats de ces deux commandes :

reflector --verbose -c FR -c DE -l 60 -p http --sort rate --threads 1
reflector --verbose -c FR -c DE -l 60 -p http --sort score --threads 1

Trois, quatre dépôts suffissent dans /etc/pacman.d/mirrorlist.
Il est recommandé de ne pas mettre que la france d'ou l'argument "-c DE".
"reflector --list-countries" permet d'avoir la liste des pays.

Création manuelle du certificat sur Archlinux :

certbot certonly --manual --rsa-key-size 4096 -d nomdedomaine.fr

Et suivre les instructions.

Pour le renouvellement ( pas encore testé ) :

certbot renew

On peut aussi faire un renouvellement automatique par l’intermédiaire d'un timer.

A tester

Installation LAMP pour Arch Linux