introduction
Les certificats SSL sont utilisés dans les serveurs Web pour chiffrer le trafic entre le serveur et le client, offrant une sécurité supplémentaire aux utilisateurs accédant à votre application. Let Encrypt offre un moyen simple d’obtenir et d’installer des certificats de confiance gratuitement. Ce tutoriel vous montrera comment configurer des certificats TLS / SSL à partir de Let’s Encrypt pour sécuriser plusieurs hôtes virtuels sur Apache.
Conditions préalables
Pour compléter ce guide, vous aurez besoin de:
-
Un serveur 16.04 avec un utilisateur sudo non-root et un pare-feu, que vous pouvez configurer en suivant notre https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-16-04 [ Didacticiel initial de configuration du serveur Ubuntu 16.04]
-
Le serveur Web Apache installé et hébergeant plusieurs hôtes virtuels, chacun avec son propre fichier de configuration, que vous pouvez configurer en suivant cette https://www.digitalocean.com/community/tutorials/how-to-set-up-apache- virtual-hosts-on-ubuntu-16-04 [Tutoriel sur les hôtes virtuels Apache].
Pour les besoins de ce guide, nous allons installer les certificats Let’s Encrypt pour les domaines ` et `. Ceux-ci seront référencés tout au long du guide, mais vous devriez les remplacer par vos propres domaines tout en les suivant.
[[step-1---installing-the-let’s-encrypt-client]] === Étape 1 - Installation du client Let’Secrypt
Les certificats Encrypt sont récupérés via le logiciel client exécuté sur votre serveur. Le client officiel s’appelle Certbot et ses développeurs gèrent leur propre référentiel logiciel Ubuntu avec des versions à jour. Étant donné le développement actif de Certbot, il est intéressant d’utiliser ce référentiel pour installer une version plus récente que celle fournie par Ubuntu par défaut.
Tout d’abord, ajoutez le référentiel:
sudo add-apt-repository ppa:certbot/certbotVous devrez appuyer sur + ENTER pour accepter. Ensuite, mettez à jour la liste des packages pour récupérer les informations de package du nouveau référentiel:
sudo apt-get updateEnfin, installez Certbot à partir du nouveau référentiel avec + apt-get:
sudo apt-get install python-certbot-apacheLe client + certbot + Let’s Encrypt est maintenant prêt à être utilisé. Ensuite, nous allons créer les certificats.
Étape 2 - Configuration des certificats
La génération du certificat SSL pour Apache est simple. Certbot obtiendra et installera automatiquement un nouveau certificat SSL valide pour les domaines fournis en tant que paramètres.
La commande suivante prend une liste de noms de domaine séparés par des virgules en tant que paramètres après l’indicateur + -d +. Le premier nom de domaine répertorié est le domaine de base utilisé par Certbot pour créer le certificat. Pour cette raison, nous vous recommandons de passer en premier le nom de domaine de premier niveau nu, suivi de tous les sous-domaines ou alias supplémentaires.
Démarrez l’installation interactive pour ++ afin de créer un certificat intégré pour ce domaine:
sudo certbot --apache -dVous serez invité à fournir une adresse e-mail pour la récupération de clé perdue et les avis, et vous pourrez choisir de rediriger ou non tout le trafic + http + vers + https +, supprimant ainsi l’accès + http +. Il est plus sûr de forcer + https +, vous devriez donc choisir cette option, sauf si vous avez un besoin spécifique d’autoriser les deux.
Une fois l’installation terminée, vous pourrez trouver les fichiers de certificat générés dans + / etc / letsencrypt / live +. Vous pouvez vérifier le statut de votre certificat SSL à l’adresse + https: //www.ssllabs.com/ssltest/analyze.html? D = & latest +, et vous pouvez maintenant accéder à votre site Web à l’aide du préfixe + https +. N’oubliez pas de suivre cette étape pour chaque domaine que vous utilisez.
Étape 3 - Vérification du renouvellement automatique de Certbot
Les certificats Encrypt ne durent que 90 jours. Cependant, le paquet certbot que nous avons installé s’occupe de cela en exécutant + certbot renew + deux fois par jour via un timer systemd. Sur les distributions non-systemd, cette fonctionnalité est fournie par un script cron placé dans + / etc / cron.d +. La tâche est exécutée deux fois par jour et renouvelle tout certificat dans les trente jours suivant son expiration.
Pour tester le processus de renouvellement, vous pouvez effectuer un essai à blanc avec + certbot +:
sudo certbot renew --dry-runSi vous ne voyez aucune erreur, vous êtes tous ensemble. Si nécessaire, Certbot renouvellera vos certificats et rechargera Apache pour prendre en compte les modifications. En cas d’échec du processus de renouvellement automatique, Let’s Encrypt enverra un message au courrier électronique que vous avez spécifié pour vous avertir de l’expiration de votre certificat.
Conclusion
Dans ce guide, nous avons vu comment installer des certificats SSL gratuits de Let’s Encrypt afin de sécuriser plusieurs hôtes virtuels sur Apache. Nous vous recommandons de consulter régulièrement le Let’s Encrypt blog pour connaître les mises à jour importantes de temps en temps et de consulter la documentation Certbot pour plus de détails sur le client Certbot.