La transition massive de sites pour travailler sur un protocole crypté gagne du terrain, jour après jour. Et si auparavant, travailler avec des certificats était une tâche plutôt routinière, vous pouvez facilement et gratuitement obtenir un certificat avec une vérification de base de la propriété du propriétaire.
Et cela nous aidera à refroidir le service Let's Encrypt . Ce centre de certification a commencé à fonctionner en mode bêta le 3 décembre 2019. Et pendant ce temps, le nombre de ses utilisateurs augmente.
Encryptons les certificats avec une validité de 90 jours. Dans le même temps, le renouvellement du certificat est entièrement automatisé. À ce stade, vous pouvez installer le paquet certbot dans Debian à partir du référentiel backports, ce qui permet d’obtenir facilement des certificats et de les mettre à jour automatiquement, ce qui est effectué deux fois par jour pour chaque couronne.
Tout d'abord, nous connectons le référentiel de backports . avec une nouvelle version de nginx compilée avec le support ALPN.
Et puis installez certbot:
aptitude install -t jessie-backports certbot
Contenu de l'article:
- Получаем сертификат для Nginx 1 Obtenez le certificat pour Nginx
- А что насчёт Apache? 2 Qu'en est-il d'Apache?
- Автоматическое обновление сертификатов по крону 3 Renouvellement automatique des certificats pour la couronne
Nous recevons le certificat pour Nginx
Pour obtenir un certificat pour ce serveur Web, on utilisera le plugin webroot , qui convient à tout serveur. Même si c'est lighttpd.
La commande pour obtenir le certificat ressemble à ceci:
certbot certonly --webroot -w /var/www/example.com - d example.com - d www.example.com
Ici, après le commutateur -w, nous spécifions le chemin complet du répertoire avec le site sur le serveur. Après la clé -d est le nom du domaine pour lequel vous voulez obtenir un certificat. Dans le même temps, vous pouvez obtenir des certificats pour cinq domaines. N'oubliez pas de spécifier le domaine avec www et sans. ;)
Le dossier contenant le site doit exister et être accessible à partir d'Internet afin que certbot puisse confirmer l'identité du site et son bon fonctionnement.
Les certificats reçus doivent être recherchés dans le répertoire /etc/letsencrypt/live/votredomaine.com/ . En tant que certificat, vous devez enregistrer le fichier fullchain.pem dans la configuration du serveur et privkey.pem en tant que clé. Exemple:
ssl_certificate /etc/letsencrypt/live/votredomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
Qu'en est-il d'Apache?
Pour lui aussi, vous pouvez obtenir un certificat. Il convient à la fois à la méthode décrite ci-dessus et au plugin spécialement conçu pour Apache. Seulement dans ce cas, vous devrez installer un autre package.
aptitude install -t jessie-backports python-certbot-apache
Et le certificat lui-même est installé par une commande plus simple:
certbot - apache
Ou, si vous voulez configurer manuellement apache:
certbot - apache certonly
Naturellement, le site dans ce cas devrait déjà être configuré. Malheureusement, je ne pourrai pas décrire mon expérience avec certbot pour apache, car je n'ai pas utilisé ce serveur Web depuis longtemps. Par conséquent, je recommande de lire la documentation officielle en anglais.
Comme nginx, le chemin d'accès aux certificats et à la clé doivent être spécifiés dans le fichier de configuration de l'hôte virtuel.
SSLCertificateFile "/etc/letsencrypt/live/yourdomain.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/live/yourdomain.com/privkey.pem"
Renouvellement automatique des certificats pour la couronne
Comme indiqué précédemment, une tâche est créée lors de l’installation dans le répertoire /etc/cron.d/certbot pour la mise à jour, deux fois par jour. Le contenu de la tâche est le suivant:
0 * / 12 * * * test de la racine -x / usr / bin / certbot && perl -e 'sleep int (rand (3600))' && certbot -q renew
En même temps, tout le travail de certbot est enregistré et ses journaux se trouvent dans le répertoire / var / log / letsencrypt / . Cela peut aider si vous avez des problèmes. Cependant, de mon expérience, je peux voir qu'ils ne sont pas encore apparus. :)
Comment supprimer un certificat? :)
Le problème est qu’il redirige vers https, mais il est nécessaire que le site soit accessible via http.