Installer Let’s Encrypt SSL sur Ubuntu 20/18/16 LTS

Configurer Let’s Encrypt SSL sur Ubuntu

Let’s Encrypt est une autorité de certification (CA) qui fournit des certificats SSL/TLS gratuits qui peuvent également être utilisés pour des fins de production. Il est possible d’obtenir un certificat SSL valide pour votre domaine gratuitement. Il n’est possible de les demander qu’au serveur sur lequel le domaine est pointé. Let’s Encrypt effectue une vérification DNS pour le domaine qui pointe vers le serveur actuel (ubuntu). Après cela, il émettra le certificat pour vous. Ce guide vous montrera comment installer le client Let’s encrypt sur votre système Ubuntu et émettre le certificat SSL pour le domaine.

Prérequis

Avant de commencer, nous supposerons que vous avez déjà:

  • Un système Ubuntu en exécution et des privilèges sudo d’accès shell.
  • Snapd installé et support snap classique est activé.
  • Un nom de domaine enregistré et pointé vers l’adresse IP publique de votre serveur. Pour ce guide, nous utiliserons example.com et www.example.com, qui sont tous les deux pointés vers notre serveur.
  • Serveur Web en exécution avec VirtualHost configuré pour example.com ainsi que www.example.com sur le Port 80.

Étape 1 – Installation de Snapd

Les snaps peuvent être utilisés sur toutes les principales distributions Linux, y compris Ubuntu, Linux Mint, Debian et Fedora.

Snap est préinstallé sur Ubuntu 16 et plus tard. Pour confirmer que vous disposez de la version la plus récente de snapd, exécutez les commandes suivantes à partir de la ligne de commande du système.

$ sudo snap install core; sudo snap refresh core

Si vous avez des paquets Certbot installés via APT, supprimez-les avant d’installer le snap Certbot pour vous assurer que lorsque vous exécutez la commande certbot, la version snap est utilisée plutôt que la version du APT.

$ sudo apt-get remove certbot

Si vous avez déjà installé Certbot en utilisant le script certbot-auto, vous devez le supprimer.

Étape 2 – Installation de Let’s Encrypt Client

Pour installer Certbot, utilisez cette commande sur la ligne de commande de la machine.

$ sudo snap install --classic certbot
$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

Étape 3 – Obtention d’un Certificat SSL

Let’s Encrypt effectue automatiquement une validation solide de Domaine avec plusieurs défis pour vérifier la propriété du domaine. Le certificat SSL sera émis une fois que l’Autorité de Certification (CA) aura vérifié l’authenticité de votre domaine.

$ sudo certbot certonly --standalone -d example.com  -d www.example.com

Cette dernière commande demandera une adresse e-mail, qui est utilisée pour envoyer des alertes par e-mail liées au renouvellement et à l’expiration de SSL. Il posera également quelques autres questions. Une fois terminé, il émettra un certificat SSL et créera un nouveau fichier de configuration VirtualHost sur votre système.

Étape 4 – Vérification du Certificat SSL

Si tout se passe bien, un nouveau SSL sera émis comme indiqué ci-dessous. Accédez au répertoire suivant pour afficher les fichiers.

$ cd /etc/letsencrypt/live/example.com
$ ls
Output:
cert.pem
chain.pem
fullchain.pem
privkey.pem

Étape 5 – Configuration de SSL VirtualHost

Utilisez ces configurations de serveur web Apache et Nginx. Modifiez le fichier de configuration virtuel de l’hôte, puis ajoutez des entrées pour le certificat ci-dessous.

Nginx:

ssl on;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

Apache:

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

Étape 6 – Configuration du Renouvellement Automatique SSL

Certbot par défaut ajout un travail cron ou une minuterie système qui renouvellera automatiquement vos certificats avant leur expiration. À moins que votre configuration ne change, vous n’aurez pas besoin de lancer Certbot à nouveau. Vous pouvez tester le renouvellement automatique du certificat en exécutant la commande suivante :

$ sudo certbot renew --dry-run

La commande certbot renew est installée dans l’un des emplacements suivants :

  • /etc/crontab/
  • /etc/cron.*/*
  • systemctl list-timers

Vous pouvez consulter comment Sécuriser Apache avec Let’s Encrypt.

Pour un SSL moins cher et fiable, consultez nos plans de certificats SSL.

Laisser un commentaire