Cette semaine, attribuons des certificats SSL gratuits Let’s Encrypt à nos sites Web hébergés sur Sentora.
Ici, un petit peu plus de travail est nécessaire, la procédure est un peu plus manuelle.
Toutefois, une fois les certificats créés, le renouvellement automatique en place, on l’oublierait presque.
Installation de Let’s Encrypt
Dans le répertoire approprié :
Exemple d’utilisation
J’utilise le mode certonly qui est le plus simple mais qui nécessite d’arrêter HTTP avant la création du certificat.
Ici, avec CentOS 7 :
Les paramètres intéressants :
– certonly : il existe d’autres modes, consultez la documentation de Let’s Encrypt pour en savoir plus
– --email mon@email.com : renseignez ici votre adresse e-mail, elle sert pour les notifications quand la date d’expiration approche
– -d www.mon-site.com : le site pour lequel générer le certificat. Il est possible de déclarer plusieurs domaines en enchainant les paramètres -d sur la même commande
– --agree-tos : en ajoutant ce paramètre, vous acceptez les CGU de Let’s Encrypt.
Sauvegarde des certificats
Le dossier /etc/letsencrypt doit être sauvegardé, c’est important.
Configuration d’Apache
Dans le panneau de configuration de Sentora, dans Admin, Apache Config, éditez la configuration des hôtes virtuels en bas de la page pour chaque site Web qui bénéficiera des certificats.
Définissez le port 443 pour Port Override, et cochez Forward Port 80 to Overriden Port si vous voulez forcer l’accès au site par HTTPS.
Et dans Custom Entry :
Changez bien sûr www.mon-site.com par la valeur appropriée.
Validez et attendez les cinq minutes de rigueur. Voilà, votre site a un certificat SSL gratuit tout neuf.
Renouvellement automatique
Les certificats sont valables trois mois, ils peuvent être renouvelés automatiquement par un script dans une tâche planifiée.
Le script, à créer dans le répertoire qui va bien, nommé par exemple renew_ssl.sh :
Pour éviter les problèmes de compatibilité des paramètres qui ne seraient plus valables avec une version plus récente du CLI de Let’s Encrypt, et sur les conseils de la documentation, il vaut mieux utiliser ~/.local/share/letsencrypt/bin/letsencrypt que letsencrypt-auto.
Si vous vous demandez à quoi correspond ~/.local/share/letsencrypt/bin/letsencrypt, il s’agit de l’utilitaire dans le dossier de travail de votre utilisateur, récupéré et installé par letsencrypt-auto quand une version plus récente existe.
Dans ce cas, il faut avoir lancé letsencrypt-auto au moins une fois, même pour afficher seulement l’aide.
Et de temps en temps, pour le mettre à jour, dans le dossier dans lequel vous aviez cloné Let’s Encrypt :
Pour vérifier que tout fonctionne toujours (il faut arrêter Apache) :
Mise en place dans la cron
En tant que l’utilisateur qui a démarré letsencrypt-auto :
Puis ajouter cette ligne :
Une tentative de renouvellement est faite tous les 15 du mois à 4h30, seuls les certificats proches de l’expiration sont renouvelés.
Et le panel Sentora ?
Il est également possible de certifier le panel de Sentora avec Let’s Encrypt, comme expliqué dans cet article, en remplaçant la génération du certificat auto-signé par ce qui est écrit ci-dessus.
Le mot de la fin
Quelques étapes sont nécessaires pour mettre en place le certificat, mais une fois le travail fait, on n’y revient plus.
Et a priori, il y aurait une chance de voir une extension Let’s Encrypt pour Sentora apparaître un jour, qui automatiserait tout ça.
L'illustration de cet article est une image sous licence CC BY 2.0 par Kobac
Merci pour le partage ! Oui, en effet, il y en des étapes par lesquelles il faut passer mais c’est la volonté de mettre en place ce certificat qui guide nos mains. On attend avec impatience l’apparition d’une extension Let’s Encrypt pour Sentora. Cela peut rendre les choses plus faciles.
Bonjour Confordomo,
En effet, ce sera plus simple 🙂
David