Certbot

Installer Certbot pour Apache2 sur Ubuntu / Debian

Certbot est un logiciel libre servant de client ACME et d’outil pour le CA (Certificate Authority) Let’s Encrypt. Il nous permet de mettre facilement et gratuitement nos sites en HTTPS.

Installation de Certbot

Toutes les manipulations sont à faire en tant que root (sudo su -).

Pour Ubuntu > 14.04

Pour Debian > 8

Ajouter les backports

Si vous ne les avez pas ajouté, sachez que ça n’a pas d’impact sur vos mises à jour, ça vous permet juste de sélectionner ponctuellement des paquets indisponibles sur votre version.

Ajoutez à la fin, en remplaçant la version par la votre (ici c’est jessie)

Installer Certbot

Configuration de Certbot pour Apache2

On peut demander à Certbot de configurer automatiquement les vhost d’apache, mais dès qu’on est dans un cas un peu complexe, ça marche mal et ça met le bazar dans les fichiers vhost.
Pour vous éviter ça, on va faire la configuration à la main.

Il faut déjà que vous listiez un à un les noms de domaine que vous souhaitez ajouter à votre certificat, car oui, vous aurez un unique certificat pour tous les noms de domaine de votre serveur, c’est plus une condition d’Apache2 que de Certbot.

Durant le processus d’installation du certificat, Let’s Encrypt va, avec Certbot, vérifier que vous possédez bien les noms de domaine pour lesquels vous souhaitez créer un certificat.
Il peut le faire de plusieurs manières mais par défaut, il vérifie la cohésion entre les DNS et l’IP publique du serveur, ce qui fonctionne parfaitement dans la grande majorité des cas.

Nous souhaitons maintenant configurer Certbot pour qu’il vérifie vos certificats

Cette commande accepte les conditions d’utilisation, fournit l’email et les noms de domaine à ajouter, sinon un assistant vous aidera, il n’est pas hyper efficace cependant.

La commande de base est  certbot certonly --apache .

Configuration d’Apache2 pour Certbot

Il vous faut maintenant un vhost configuré pour utiliser ce certificat avec votre nom de domaine.

Les chemins utilisés par SSLCertificateFile et SSLCertificateKeyFile peuvent varier, à vous de voir ce qu’il y a dans le dossier /etc/letsencrypt/live/.

Tout le reste est configuré par Certbot.

Pensez à redémarrer Apache2 et votre certificat est en ligne !

Renouvellement automatique du certificat

Le certificat expire au bout de 90 jours, quand il est sur le point d’expirer, certbot peut le renouveler par une simple commande certbot renew  .

Cette commande ne fait rien s’il n’y a rien à renouveler, notre but est donc de mettre cette commande dans une tâche cron afin de l’exécuter régulièrement.

Il ne vous reste plus qu’à faire

Et à entrer la tâche cron suivante:

 

Pour une configuration plus complète, d’autres distributions, des versions non prises en charge ici, voyez avec le site de Certbot.

Sources :
https://certbot.eff.org/
https://letsencrypt.org/

Florent

Je suis un développeur web à mon compte et je m'intéresse à beaucoup de choses en informatique...

Aucun commentaire

Commenter