systemes:web:https_letsencrypts

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

systemes:web:https_letsencrypts [2016/01/19 13:23]
william titre 		systemes:web:https_letsencrypts [2019/02/06 14:03]
Ligne 1: Ligne 1:
-====== Certificats Let's Encrypt ====== 
  
-===== Introduction ===== 
- 
-Dès à présent les certificats ssl deviennent gratuit grâce à Let's Encrypt qui révolutionne vraiment ce domaine. 
- 
-===== Installation d'un certificat ===== 
- 
-==== Récupération des sources ==== 
- 
-<code bash> 
-git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt 
-cd /opt/letsencrypt/ 
-</code> 
- 
-==== Génération du certificat ==== 
- 
-<code bash> 
-./letsencrypt-auto certonly --webroot -w /var/www/www.domaine.fr/ -d domaine.fr -d www.domaine.fr 
-</code> 
-  * La racine du web doit être une partie accessible depuis le nom de domaine, car la génération du certificat doit ce faire avec un échange de fichier via ce répertoire. 
- 
- 
- 
-==== Préparation du vhost ( apache2) ==== 
- 
-<code bash> 
-vim /etc/apache2/sites-available/ssl-www.domaine.fr 
- 
-<VirtualHost *:443> 
- ServerAdmin contact@domaine.fr 
- ServerName domaine.fr 
- ServerAlias www.domaine.fr 
-  
- 
- 
- SSLEngine on 
- 
- SSLProtocol             all -SSLv2 -SSLv3 
- SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA 
- SSLHonorCipherOrder     on 
- SSLCompression          off 
- 
- 
- 
- 
-        SSLCertificateFile /etc/letsencrypt/live/domaine.fr/cert.pem 
-        SSLCertificateKeyFile /etc/letsencrypt/live/domaine.fr/privkey.pem 
-        SSLCertificateChainFile /etc/letsencrypt/live/domaine.fr/fullchain.pem 
- 
- 
- DocumentRoot /var/www/www.domaine.fr/ 
- <Directory /> 
- Options FollowSymLinks 
- AllowOverride None 
- </Directory> 
- <Directory /var/www/www.domaine.fr> 
- Options Indexes FollowSymLinks MultiViews 
-                AllowOverride none 
-                Order allow,deny 
-                allow from all 
- </Directory> 
- 
- 
- ErrorLog /var/log/apache2/error-www.domaine.fr-ssl.log 
- 
- # Possible values include: debug, info, notice, warn, error, crit, 
- # alert, emerg. 
- LogLevel warn 
- 
- CustomLog /var/log/apache2/access-www.domaine.fr-ssl.log combined 
- 
- 
-</VirtualHost> 
-</code> 
- 
- 
-<code bash> 
-a2enmod ssl 
-a2ensite ssl-www.domaine.fr 
-service apache2 reload 
-</code> 
- 
- 
- 
- 
- 
- 
-===== Tests de fonctionnement ===== 
- 
- 
-https://www.sslshopper.com/ssl-checker.html#hostname=domaine.fr 
- 
- 
- 
-===== Renouvellement automatique ===== 
- 
-  * Let's Encrypt fourni des certificats valide durant 90 jours. Voici un petit script afin d'automatiser cette procédure de renouvellement. 
- 
-<code bash> 
-mkdir /opt/scripts/ 
-cd /opt/scripts/ 
-</code> 
- 
- 
-<code bash> 
-vim /etc/letsencrypt/domaine.fr.cfg 
- 
-authenticator = webroot                                                                                                                                                                                         
-webroot-path = /var/www/www.domaine.fr/ 
-renew-by-default 
-agree-tos 
-email = meme_mail_que_demander_a_l_install@domaine.com 
- 
-</code> 
- 
-<code bash> 
-vim renew_certs_letsencrypts.sh 
- 
-#!/bin/bash                                                                                                                                                                                                     
- 
-cd /opt/letsencrypt/ 
-./letsencrypt-auto certonly --config /etc/letsencrypt/domaine.fr.cfg  -d domaine.fr -d www.domaine.fr 
- 
- 
-if [ $? -ne 0 ] 
- then 
-        ERRORLOG=`tail /var/log/letsencrypt/letsencrypt.log` 
-        echo -e "Bonjour,\nLe Certificat https pour domaine.fr n'as PAS été renouvelé automatiquement \n \n" $ERRORLOG | mail -s "ERREUR renouvellement de certificats"  mailperso@domaine.com 
- 
- else 
-        service apache2 reload 
-        echo -e "Bonjour,\nLe Certificat https pour domaine.fr renouvelé automatiquement" | mail -s "Renouvellement de certificats"  mailperso@domaine.com 
- 
-fi 
- 
- 
-</code> 
- 
-<code bash> 
-chmod +x renew_certs_letsencrypts.sh 
-crontab -e 
- 
-@monthly /opt/scripts/renew_certs_letsencrypts.sh 
- 
-</code> 
- 
- 
- 
-Source : letsencrypt.readthedocs.org 
- 
- 
-[[systemes:start|Retour]] 
  • systemes/web/https_letsencrypts.txt
  • Dernière modification: 2019/02/06 14:03
  • (modification externe)