Introduction

• Introduction
  • Pré-requis
  • Installation
  • Création du certificat
  • Utilisation du certificat
    • Nginx
    • Apache

Cette documentation explique comment générer un certificat SSL générique en utilisant Let's Encrypt (certbot). Le certificat pourra ainsi être utilisé par n'importe quelle application.

Pré-requis

Le nom de domaine pour lequel le certificat sera créé, devra avoir un enregistrement DNS de type A vers l'adresse IP publique du serveur.

Dans le cadre de cet exemple, le nom de domaine exemple-certbot.org sera utilisé.

Installation

Sur la plupart des distributions Linux, installer le paquet certbot est suffisant :

# Debian like
apt-get install certbot

# Redhat like
dnf install certbot

Création du certificat

La création du certificat se fait à partir de la commande certbot :

certbot certonly --standalone --agree-tos -d exemple-certbot.org --no-eff-email --email [email protected]

La sortie de la commande devrait ressembler à ceci :

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Account registered.
Requesting a certificate for exemple-certbot.org
Performing the following challenges:
http-01 challenge for exemple-certbot.org
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/exemple-certbot.org/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/exemple-certbot.org/privkey.pem
   Your certificate will expire on 2022-02-28. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Le certificat a bien été généré. Les fichiers sont disponibles dans le répertoire /etc/letsencrypt/live/exemple-certbot.org/ où se trouve les certificats ainsi que la clé privée.

La clé privée est, comme son nom l'indique, privée. Elle ne doit être communiquée à personne ni même se trouver sur un quelconque support publique (FTP, clé USB, ...).

Il est maintenant possible d'utiliser le certificat pour n'importe quelle application.

Utilisation du certificat

Nginx

Sur Nginx, les directives suivantes sont à rajouter sur le vhost correspondant au nom de domaine exemple-certbot.org :

listen 443 ssl;

ssl_certificate /etc/letsencrypt/live/exemple-certbot.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/exemple-certbot.org/privkey.pem;

Apache

Sur Apache, les directives suivantes sont à rajouter sur le vhost correspondant au nom de domaine exemple-certbot.org :

SSLCertificateFile /etc/letsencrypt/live/exemple-certbot.org/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/exemple-certbot.org/privkey.pem