Installation de Let’s Encrypt pour CENTOS / DEBIAN / UBUNTU

 Let’s Encrypt est une autorité de certification SSL gérée par l’ISRG (Internet Security Research Group).
Il utilise l’environnement de gestion de certificats automatisé (ACME) pour déployer automatiquement des certificats SSL gratuits auxquels presque tous les principaux navigateurs font confiance.

Avant de commencer

Suivez les étapes de notre guide Sécuriser votre serveur pour créer un compte utilisateur standard, renforcer l’accès SSH et supprimer les services réseau inutiles.

Mettez à jour les progiciels de votre serveur par :

CentOS

 sudo yum update && sudo yum upgrade

Debian / Ubuntu

 sudo apt update && sudo apt upgrade
Remarque :
Ce guide est écrit pour un utilisateur non-root.
Les commandes nécessitant des privilèges élevés sont préfixées avec sudo.
Si vous n’êtes pas familier avec la commande sudo, vous pouvez consulter notre guide Utilisateurs et groupes.

Téléchargement et installation de Let’s Encrypt

Installez le paquet git:

CentOS

 sudo yum install git

Debian / Ubuntu

 sudo apt-get install git
Téléchargez un clone de Let’s Encrypt à partir du référentiel GitHub officiel.
/ opt est un répertoire d’installation commun pour les paquets tiers, nous allons installer le clone dans / opt / letsencrypt:
sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
Accédez au nouveau répertoire / opt / letsencrypt:
cd /opt/letsencrypt

Création d’un certificat SSL

Let’s Encrypt effectue automatiquement la validation de domaine (DV) en utilisant une série de défis.
L’autorité de certification (CA) utilise des défis pour vérifier l’authenticité du domaine de votre ordinateur.
Une fois validée, l’autorité de certification vous délivrera des certificats SSL.

Remarque:
Si vous aviez le message ci-dessous :
Problem binding to port 80: Could not bind to IPv4 or IPv6.
Veuillez arrêter Apache par : sudo service apache2 stop

Maintenant vous pouvez continuer la suite du tutorial….

Exécuter Let’s Encrypt avec le paramètre –standalone.
Pour chaque nom de domaine supplémentaire nécessitant un certificat, ajoutez -d example.com à la fin de la commande.
sudo -H ./letsencrypt-auto certonly --standalone -d example.com -d www.example.com
Remarque
Let’s Encrypt ne déploie pas de certificats génériques.
Chaque sous-domaine nécessite son propre certificat.
Lorsque vous y êtes invité, spécifiez une adresse e-mail administrative.
Cela vous permettra de reprendre le contrôle d’un certificat perdu et de recevoir des avis de sécurité urgents si nécessaire.
Appuyez sur ENTER ou RETURN pour sauvegarder.
Acceptez les conditions d’utilisation et indiquez si vous souhaitez partager votre adresse e-mail avec EFF:
 
Si tout se passe bien, un message similaire à celui ci-dessous apparaîtra.
Son apparence signifie que Let’s Encrypt a approuvé et émis vos certificats.
 
Il faut maintenant redémarrer Apache par :
sudo service apache2 start

Vérification des domaines de certificat

La sortie du script Let’s Encrypt montre où votre certificat est stocké;
Dans ce cas, / etc / letsencrypt / live :
 sudo ls /etc/letsencrypt/live
 
Tous les domaines que vous avez spécifiés ci-dessus seront couverts par ce certificat unique.
Cela peut être vérifié comme suit:
./certbot-auto certificates

Maintenance

Renouvelement des certificats SSL

Retournez dans le répertoire / opt / letsencrypt :
cd /opt/letsencrypt
Exécutez la commande que vous avez utilisée à l’étape 1 de la section Créer un certificat SSL,
en ajoutant le paramètre –renew-by-default:
sudo -H ./letsencrypt-auto certonly --standalone --renew-by-default -d example.com -d www.example.com
Après quelques instants, une confirmation similaire à celle ci-dessous devrait apparaître:
Let’s Encrypt a rafraîchi la durée de vie de vos certificats;
Dans cet exemple, le 31 mars 2016 est la nouvelle date d’expiration.
Remarque
Let’s Encrypt certificats ont une durée de vie de 90 jours.
Selon Let’s Encrypt, cela encourage l’automatisation et minimise les dommages causés par les principaux compromis.
Vous pouvez renouveler vos certificats à tout moment pendant leur durée de vie.

Renouvelement automatique des certificats SSL (facultatif)

Vous pouvez également automatiser le renouvellement du certificat.
Cela empêchera vos certificats d’expirer et peut être accompli avec cron.La sortie de la commande précédente montre comment renouveler de manière non interactive tous vos certificats:
./letsencrypt-auto renew
Définissez cette tâche pour qu’elle s’exécute automatiquement une fois par mois à l’aide d’un travail cron:
sudo crontab -e
Ajoutez la ligne suivante à la fin du fichier crontab:
0 0 1 * * /opt/letsencrypt/letsencrypt-auto renew

Mettre à jour Let’s Encrypt

Retournez dans le répertoire / opt / letsencrypt:
cd /opt/letsencrypt
Téléchargez les modifications apportées à Let’s Encrypt depuis la dernière fois que vous avez cloné ou extrait le référentiel, en le mettant à jour efficacement:
sudo git pull

Mettre à jour automatiquement Let’s Encrypt (facultatif)

Vous pouvez également utiliser cron pour maintenir le client letsencrypt-auto à jour.
sudo crontab -e
Ajoutez la ligne suivante à la fin du fichier crontab:
0 0 1 * * cd /opt/letsencrypt && git pull

Plus d’informations

Vous pouvez consulter les ressources suivantes pour plus d’informations sur ce sujet.

Bien que ceux-ci soient fournis dans l’espoir qu’ils seront utiles,
veuillez noter que nous ne pouvons pas garantir l’exactitude ou l’opportunité des documents hébergés en externe.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.