LetsEncrypt, gestion de certificats https & nouveaux sous-domaines

LetsEncrypt, c’est quoi?

LetsEncrypt propose de faciliter la gestion de certificats SSL/TLS reconnus dans les navigateurs (entre autre).

Si la création et le renouvellement sont gratuits, il y a quelques contraintes (mineures à petite échelle):

  • Volume de création de certificat limité sur une semaine flottante par domaine (5)
  • Volume total limité par domaine (100)
  • Validité du certificat de 3 mois

Néanmoins, le projet évolue rapidement et propose de nombreuses fonctionnalités intéressantes, dont:

  • Renouvellement facile (manuel ou mis dans une crontab)
  • Temps de création
  • Intégration du certificat racine de LE dans les magasins de certificats des navigateurs (pour l’instant, c’est un cross-signing qui assure la reconnaissance des certificats signés par LE par les logiciels clients)
Le cross signing… c’est simple non? 😀

 

Ces sujets, tout comme l’installation sur un serveur Linux, font l’objet de suffisamment de publication de qualité par ailleurs, je ne m’y attarderai pas.

Création d’un certificat supplémentaire

Les explications/aides pour la création d’un certificat initial sont facilement trouvables, je vais aborder la création d’un certificat complémentaire.

On s’accroche à ses sous-vêtements, ca va être complexe:

TL;DR
letsencrypt certonly

 

C’est tout.

what
Quooiiii ?

 

J’ai oublié de dire : c’est facile. 😊

Version Longue

Avant de lancer letsencrypt, on vérifie que le port 80 est librement accessible et utilisable par letsencrypt:

  • Pas de serveur web (ou autre service) en fonctionnement sur le port  80 (netstat ou ss sont deux bons amis)
  • Port ouvert dans le pare-feu (iptables, ufw, …)

L’étape suivante est le lancement de la commande letsencrypt, en mode interactif:

letsencrypt certonly (-d www.domain.tld)

ou pas…:

letsencrypt certonly -d www.domain.tld (-d www.domain.tld) -n --standalone

Avant d’utiliser son certificat, ne pas oublier de remettre le serveur dans l’état initial (serveur web ou autre service, firewall, …).

Oui, c’est vraiment facile! 😃

Laisser un commentaire