LetsEncrypt, c’est quoi?
LetsEncrypt propose de faciliter la gestion de certificats SSL/TLS reconnus dans les navigateurs (entre autre).
Si la création et le renouvellement sont gratuits, il y a quelques contraintes (mineures à petite échelle):
- Volume de création de certificat limité sur une semaine flottante par domaine (5)
- Volume total limité par domaine (100)
- Validité du certificat de 3 mois
Néanmoins, le projet évolue rapidement et propose de nombreuses fonctionnalités intéressantes, dont:
- Renouvellement facile (manuel ou mis dans une crontab)
- Temps de création
- Intégration du certificat racine de LE dans les magasins de certificats des navigateurs (pour l’instant, c’est un cross-signing qui assure la reconnaissance des certificats signés par LE par les logiciels clients)
Ces sujets, tout comme l’installation sur un serveur Linux, font l’objet de suffisamment de publication de qualité par ailleurs, je ne m’y attarderai pas.
Création d’un certificat supplémentaire
Les explications/aides pour la création d’un certificat initial sont facilement trouvables, je vais aborder la création d’un certificat complémentaire.
On s’accroche à ses sous-vêtements, ca va être complexe:
TL;DR
letsencrypt certonly
C’est tout.
J’ai oublié de dire : c’est facile. 😊
Version Longue
Avant de lancer letsencrypt, on vérifie que le port 80 est librement accessible et utilisable par letsencrypt:
- Pas de serveur web (ou autre service) en fonctionnement sur le port 80 (
netstatousssont deux bons amis) - Port ouvert dans le pare-feu (
iptables,ufw, …)
L’étape suivante est le lancement de la commande letsencrypt, en mode interactif:
letsencrypt certonly (-d www.domain.tld)
ou pas…:
letsencrypt certonly -d www.domain.tld (-d www.domain.tld) -n --standalone
Avant d’utiliser son certificat, ne pas oublier de remettre le serveur dans l’état initial (serveur web ou autre service, firewall, …).
Oui, c’est vraiment facile! 😃