¶ Installation de certificats SSL avec Let’s Encrypt et Certbot
¶ LET'S ENCRYPT
Let’s Encrypt est une autorité de certification qui délivre des certificats SSL gratuits depuis décembre 2015 (en version bêta publique). Grâce à Let’s Encrypt, il est possible d’obtenir un certificat SSL gratuit et fiable !
Fondé en 2014, Let’s Encrypt est un projet Linux Foundation, soutenue par l’Electronic Frontier Foundation, Mozilla Foundation, Cisco et par beaucoup d’autres acteur majeur d’internet.
Site officiel: Let's Encrypt
¶ CERTBOT
Certbot est un outil logiciel gratuit et open source en ligne de commande qui permet d'utiliser automatiquement les certificats Let's Encrypt sur des sites Web gérés manuellement afin d'activer HTTPS. Certbot est créé par l' Electronic Frontier Foundation (EFF) , une organisation à but non lucratif basée à San Francisco, en Californie, qui défend la confidentialité numérique, la liberté d'expression et l'innovation.
Site officiel: Certbot
¶ Nous allons voir dans ce tutoriel comment obtenir des certificats SSL / TLS Let’s Encrypt avec Certbot.
¶ 1. Pour commencer, connectez vous en SSH à votre serveur.
Ici les commandes sont éffectués sur un système XigmaNAS.
Voir la page Xigmanas pour plus de renseignements sur le système.
¶ 2. installer le package Certbot (répondre Y à toute les questions pour installer les dépendances).
pkg install py39-certbot
Une fois Certbot installé vous avez deux méthodes pour obtenir des certificats.
- soit STANDALONE
- soit WEBROOT
En mode STANDALONE, cette commande démarre temporairement un serveur Web sur le port 80, juste le temps du processus d'authentification. Comme il s'agit d'une solution autonome, c'est la plus simple à configurer, si vous n'utilisez pas ce port.
Sinon il faut désactiver le service Serveur web et être sur qu'aucun service n'utilise le port 80.
¶ 3. Ensuite exécuter la commande suivante pour obtenir un certificat.
¶ STANDALONE
sudo certbot certonly --standalone
- Certbot va demander de saisir une adresse mail (utilisé pour les avis de renouvellement urgent et de sécurité).
- Il va ensuite demander de lire et valider les conditions d'utilisation (Y)
- Puis demander si vous voulez partager votre adresse mail avec le partenaire de Lets Encrypt qui développe Certbot (Y)
- Il va enfin vous signaler que votre compte est créé (Account registered.)
- Nous allons pouvoir ensuite renseigner un ou plusieurs nom de domaine séparé d'un espace: domaintest.com www.domaintest.com (a remplacer par le votre).
- Il va ensuite vous prévenir de la réussite de la création de vos certificats avec la date d'expiration et vous indiquer les chemin pour les retrouver.
Si jamais vous avez cette l'erreur ci-dessous avec STANDALONE alors utiliser WEBROOT
¶ WEBROOT
sudo certbot certonly --webroot -w /var/www/html/MonSite; -d domaine1.fr -d www.domaine2.fr
L'authentification Webroot fonctionne en désignant le dossier racine de votre site web dont le contenu est disponible publiquement . Certbot y place ensuite un fichier puis envoie un ping à un serveur distant qui tente de le récupérer. Si cela réussit, Let's Encrypt émet le certificat, car vous avez prouvé la propriété du domaine.
Les certificats SSL expirent au bout de 90 jours, il faut pour cela le renouveler et si jamais on oublie, on reçoit un email avant que le certificat Le'ts Encrypt n'expire.
Pour en obtenir de nouveaux ou une version modifiée de ces certificats, exécutez simplement Certbot à nouveau.