Let’s Encrypt et Sentora

Let's Encrypt et Sentora

Cette semaine, attribuons des certificats SSL gratuits Let’s Encrypt à nos sites Web hébergés sur Sentora.

Ici, un petit peu plus de travail est nécessaire, la procédure est un peu plus manuelle.
Toutefois, une fois les certificats créés, le renouvellement automatique en place, on l’oublierait presque.

Installation de Let’s Encrypt

Dans le répertoire approprié :

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

Exemple d’utilisation

J’utilise le mode certonly qui est le plus simple mais qui nécessite d’arrêter HTTP avant la création du certificat.

Ici, avec CentOS 7 :

systemctl stop httpd
./letsencrypt-auto certonly --standalone --agree-tos --email mon@email.com -d www.mon-site.com
systemctl start httpd

Les paramètres intéressants :

certonly : il existe d’autres modes, consultez la documentation de Let’s Encrypt pour en savoir plus
--email mon@email.com : renseignez ici votre adresse e-mail, elle sert pour les notifications quand la date d’expiration approche
-d www.mon-site.com : le site pour lequel générer le certificat. Il est possible de déclarer plusieurs domaines en enchainant les paramètres -d sur la même commande
--agree-tos : en ajoutant ce paramètre, vous acceptez les CGU de Let’s Encrypt.

Sauvegarde des certificats

Le dossier /etc/letsencrypt doit être sauvegardé, c’est important.

Configuration d’Apache

Dans le panneau de configuration de Sentora, dans Admin, Apache Config, éditez la configuration des hôtes virtuels en bas de la page pour chaque site Web qui bénéficiera des certificats.

Définissez le port 443 pour Port Override, et cochez Forward Port 80 to Overriden Port si vous voulez forcer l’accès au site par HTTPS.

Et dans Custom Entry :

SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/www.mon-site.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.mon-site.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/www.mon-site.com/chain.pem

Changez bien sûr www.mon-site.com par la valeur appropriée.

Validez et attendez les cinq minutes de rigueur. Voilà, votre site a un certificat SSL gratuit tout neuf.

Renouvellement automatique

Les certificats sont valables trois mois, ils peuvent être renouvelés automatiquement par un script dans une tâche planifiée.

Le script, à créer dans le répertoire qui va bien, nommé par exemple renew_ssl.sh :

systemctl stop httpd
~/.local/share/letsencrypt/bin/letsencrypt renew --agree-tos
systemctl start httpd

Pour éviter les problèmes de compatibilité des paramètres qui ne seraient plus valables avec une version plus récente du CLI de Let’s Encrypt, et sur les conseils de la documentation, il vaut mieux utiliser ~/.local/share/letsencrypt/bin/letsencrypt que letsencrypt-auto.

Si vous vous demandez à quoi correspond ~/.local/share/letsencrypt/bin/letsencrypt, il s’agit de l’utilitaire dans le dossier de travail de votre utilisateur, récupéré et installé par letsencrypt-auto quand une version plus récente existe.

Dans ce cas, il faut avoir lancé letsencrypt-auto au moins une fois, même pour afficher seulement l’aide.

Et de temps en temps, pour le mettre à jour, dans le dossier dans lequel vous aviez cloné Let’s Encrypt :

git pull
./letsencrypt-auto --help

Pour vérifier que tout fonctionne toujours (il faut arrêter Apache) :

./letsencrypt-auto renew --agree-tos --dry-run

Mise en place dans la cron

En tant que l’utilisateur qui a démarré letsencrypt-auto :

crontab -e

Puis ajouter cette ligne :

30 4 15 * * sh /chemin/vers/renew_ssl.sh

Une tentative de renouvellement est faite tous les 15 du mois à 4h30, seuls les certificats proches de l’expiration sont renouvelés.

Et le panel Sentora ?

Il est également possible de certifier le panel de Sentora avec Let’s Encrypt, comme expliqué dans cet article, en remplaçant la génération du certificat auto-signé par ce qui est écrit ci-dessus.

Le mot de la fin

Quelques étapes sont nécessaires pour mettre en place le certificat, mais une fois le travail fait, on n’y revient plus.
Et a priori, il y aurait une chance de voir une extension Let’s Encrypt pour Sentora apparaître un jour, qui automatiserait tout ça.

L'illustration de cet article est une image sous licence CC BY 2.0 par Kobac

Cet article vous a été utile ? Partage it !

2 réflexions au sujet de « Let’s Encrypt et Sentora »

  1. Merci pour le partage ! Oui, en effet, il y en des étapes par lesquelles il faut passer mais c’est la volonté de mettre en place ce certificat qui guide nos mains. On attend avec impatience l’apparition d’une extension Let’s Encrypt pour Sentora. Cela peut rendre les choses plus faciles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Si vous le souhaitez, renseignez le champ 'Nom' de cette façon : 'VotreNom@VotreMotClef' pour obtenir une ancre optimisée pour les moteurs de recherche.