introduction
Let’s Encrypt est un service proposant des certificats SSL gratuits via une API automatisée. Le client Let’s Encrypt le plus populaire estEFF’sCertbot.
Certbot propose diverses méthodes pour valider votre domaine, récupérer des certificats et configurer automatiquement Apache et Nginx. Dans ce didacticiel, nous aborderons le modestandalone de Certbot et comment l'utiliser pour sécuriser d'autres types de services, tels qu'un serveur de messagerie ou un courtier de messages comme RabbitMQ.
Nous ne discuterons pas des détails de la configuration SSL, mais lorsque vous aurez terminé, vous obtiendrez un certificat valide qui sera automatiquement renouvelé. De plus, vous pourrez automatiser le rechargement de votre service pour récupérer le certificat renouvelé.
Conditions préalables
Avant de commencer ce tutoriel, vous aurez besoin de:
-
Un serveur CentOS 7 avec un utilisateur non root et compatible sudo, comme détaillé dansthis CentOS 7 initial server setup tutorial.
-
Un nom de domaine pointé vers votre serveur, ce que vous pouvez accomplir en suivant «https://www.digitalocean.com/community/tutorials/how-to-set-up-a-host-name-with-digitalocean[How to Set Up a Host Name with DigitalOcean]. » Ce didacticiel utilisera
example.compartout. -
Le port 80or 443 doit être inutilisé sur votre serveur. Si le service que vous essayez de sécuriser se trouve sur une machine avec un serveur Web qui occupe ces deux ports, vous devrez utiliser un mode différent tel quewebroot mode de Certbot.
[[step-1 -—- Installing-certbot]] == Étape 1 - Installation de Certbot
Certbot est emballé dans un référentiel supplémentaire appeléExtra Packages for Enterprise Linux (EPEL). Pour activer ce référentiel sur CentOS 7, exécutez la commandeyum suivante:
sudo yum --enablerepo=extras install epel-releaseEnsuite, le packagecertbot peut être installé avecyum:
sudo yum install certbotVous pouvez confirmer que votre installation a réussi en appelant la commandecertbot:
certbot --versionOutputcertbot 0.31.0Maintenant que Certbot est installé, exécutons-le pour obtenir notre certificat.
[[step-2 -—- running-certbot]] == Étape 2 - Exécution de Certbot
Certbot doit répondre à un défi cryptographique émis par l’API Let’s Encrypt afin de prouver que nous contrôlons notre domaine. Il utilise les ports80 (HTTP) ou443 (HTTPS) pour ce faire. Si vous utilisez un pare-feu, ouvrez le port approprié maintenant. Pourfirewalld, ce serait quelque chose comme ceci:
sudo firewall-cmd --add-service=http
sudo firewall-cmd --runtime-to-permanentRemplacezhttps parhttp ci-dessus si vous utilisez le port 443.
Nous pouvons maintenant exécuter Certbot pour obtenir notre certificat. Nous utiliserons l'option--standalone pour indiquer à Certbot de gérer le défi en utilisant son propre serveur Web intégré. L'option--preferred-challenges indique à Certbot d'utiliser le port 80 ou le port 443. Si vous utilisez le port 80, vous voulez--preferred-challenges http. Pour le port 443, ce serait--preferred-challenges tls-sni. Enfin, l'indicateur-d est utilisé pour spécifier le domaine pour lequel vous demandez un certificat. Vous pouvez ajouter plusieurs options-d pour couvrir plusieurs domaines dans un seul certificat.
sudo certbot certonly --standalone --preferred-challenges http -d example.comLors de l'exécution de la commande, vous serez invité à entrer une adresse électronique et à accepter les conditions d'utilisation. Après cela, vous devriez voir un message vous informant que le processus a abouti et où sont stockés vos certificats:
OutputIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-10-09. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leNous avons nos certificats. Voyons ce que nous avons téléchargé et comment utiliser les fichiers avec notre logiciel.
[[step-3 -—- configuration-your-application]] == Étape 3 - Configuration de votre application
La configuration de votre application pour SSL dépasse le cadre de cet article, car chaque application a des exigences et des options de configuration différentes, mais examinons ce que Certbot a téléchargé pour nous. Utilisezls pour lister le répertoire qui contient nos clés et certificats:
sudo ls /etc/letsencrypt/live/example.comOutputcert.pem chain.pem fullchain.pem privkey.pem READMELe fichierREADME de ce répertoire contient plus d'informations sur chacun de ces fichiers. Le plus souvent, vous n’avez besoin que de deux de ces fichiers:
-
privkey.pem: il s'agit de la clé privée du certificat. Cela doit être gardé en sécurité et secret, c'est pourquoi la plupart des répertoires/etc/letsencryptont des permissions très restrictives et sont accessibles uniquement par l'utilisateurroot. La plupart des configurations logicielles appelleront cela quelque chose de similaire àssl-certificate-keyoussl-certificate-key-file. -
fullchain.pem: Ceci est notre certificat, fourni avec tous les certificats intermédiaires. La plupart des logiciels utiliseront ce fichier pour le certificat réel et y feront référence dans leur configuration avec un nom tel que "certificat-ssl".
Pour plus d'informations sur les autres fichiers présents, reportez-vous à la section «https://certbot.eff.org/docs/using.html#where-are-my-certificates[Where are my certificates]» de la documentation Certbot.
Certains logiciels auront besoin de leurs certificats dans d'autres formats, dans d'autres emplacements ou avec d'autres autorisations utilisateur. Il est préférable de tout laisser dans le répertoireletsencrypt et de ne modifier aucune autorisation (les autorisations seront simplement écrasées lors du renouvellement de toute façon), mais parfois ce n'est tout simplement pas une option. Dans ce cas, vous devrez écrire un script pour déplacer les fichiers et modifier les autorisations en fonction des besoins. Ce script devra être exécuté chaque fois que Certbot renouvellera les certificats, dont nous parlerons ensuite.
[[step-4 -—- enabled-automatic-certificate-replacement]] == Étape 4 - Activation du renouvellement automatique du certificat
Les certificats de Let Encrypt ne sont valables que quatre-vingt-dix jours. Cela encourage les utilisateurs à automatiser leur processus de renouvellement des certificats. Le packagecertbot que nous avons installé comprend une minuterie systemd pour vérifier les renouvellements deux fois par jour, mais il est désactivé par défaut. Activez le minuteur en lançant la commande suivante:
sudo systemctl enable --now certbot-renew.timerOutputCreated symlink from /etc/systemd/system/timers.target.wants/certbot-renew.timer to /usr/lib/systemd/system/certbot-renew.timer.Vous pouvez vérifier l'état de la minuterie à l'aide desystemctl:
sudo systemctl status certbot-renew.timerOutput● certbot-renew.timer - This is the timer to set the schedule for automated renewals
Loaded: loaded (/usr/lib/systemd/system/certbot-renew.timer; enabled; vendor preset: disabled)
Active: active (waiting) since Fri 2019-05-31 15:10:10 UTC; 48s agoLa minuterie devrait être active. Certbot va maintenant renouveler automatiquement tous les certificats sur ce serveur si nécessaire.
[[step-5 -—- running-tasks-when-certificates-are-generated]] == Étape 5 - Exécution de tâches lors du renouvellement des certificats
Maintenant que nos certificats se renouvellent automatiquement, nous avons besoin d’un moyen d’exécuter certaines tâches après un renouvellement. Nous devons au moins redémarrer ou recharger notre serveur pour récupérer les nouveaux certificats et, comme indiqué à l'étape 3, nous devrons peut-être manipuler les fichiers de certificat de manière à les faire fonctionner avec le logiciel que nous utilisons. C'est le but de l'optionrenew_hook de Certbot.
Pour ajouter unrenew_hook, nous mettons à jour le fichier de configuration de renouvellement de Certbot. Certbot se souvient de tous les détails de la première récupération du certificat et fonctionnera avec les mêmes options lors du renouvellement. Nous avons juste besoin d'ajouter dans notre crochet. Ouvrez le fichier de configuration avec votre éditeur préféré:
sudo vi /etc/letsencrypt/renewal/example.com.confUn fichier texte s'ouvrira avec quelques options de configuration. Ajoutez votre crochet à la dernière ligne:
/etc/letsencrypt/renewal/example.com.conf
renew_hook = systemctl reload rabbitmqMettez à jour la commande ci-dessus avec tout ce que vous devez exécuter pour recharger votre serveur ou exécuter votre script de conversion de fichier personnalisé. Habituellement, sur CentOS, vous utiliserez principalementsystemctl pour recharger un service. Enregistrez et fermez le fichier, puis exécutez une analyse à blanc pour vérifier que la syntaxe est correcte:
sudo certbot renew --dry-runSi vous ne voyez aucune erreur, vous êtes tous ensemble. Certbot est configuré pour se renouveler si nécessaire et exécuter les commandes nécessaires pour que votre service utilise les nouveaux fichiers.
Conclusion
Dans ce didacticiel, nous avons installé le client Certbot Let’s Encrypt, téléchargé un certificat SSL en mode autonome et activé les renouvellements automatiques avec les hooks renew. Cela devrait vous permettre de bien utiliser les certificats de Let’s Encrypt avec des services autres que votre serveur Web classique.
Pour plus d'informations, reportez-vous àCertbot’s documentation.