Protocole ACME sur Linux pour émettre et installer un certificat

Ce guide vous permet de commencer à utiliser l'outil Certbot pour la gestion et l'émission automatisées des certificats sur Linux. Le guide décrit la procédure sur Apache, mais il est utilisable également pour Nginx, Haproxy et Plesk. Certbot est un outil logiciel open source gratuit.

Avant de commencer

Avant de commencer, le client doit s'adresser à notre conseiller clientèle pour se préparer à une prévalidation.

  • Les domaines et l'organisation et sont prévalidés et prêts pour l'émission instantannée du certificat. Dans cette étape, la coopération avec le support de SSLmarket est nécessaire.
  • Une fois la validation terminée, nous générons une URL ACME Directory unique auprès de l'autorité de certification. Votre client (CertBot) utilisera l'URL ACME dans la commande de certificat.
  • ACME Directory URL est unique pour chaque client et produit. Il est impossible d'utiliser une URL pour plusieurs clients.

Installation du Certbot sur le serveur :

Installez le Certbot sur votre serveur, nous vous recommandons d'installer des modules en fonction du type de serveur. Les modules facilitent la sélection du site cible pour l'installation du certificat et peuvent travailler directement avec la configuration du serveur (ce qui vous permet de simplifier l'installation).

Recommandation : Visitez le site Certbot, vous pouvez choisir votre système d'exploitation et le serveur et trouver la procédure d'installation étape par étape.

Émettre et installer le certificat

À l'invite du terminal, demandez un certificat à l’aide de ligne de commande ci-dessous :
sudo certbot --apache --register-unsafely-without-email --server “Votre ACME Directory URL” -d www.votredomaine.fr -d votredomaine.fr
Options ACME :

  • Certbot – démarre Certbot
  • --apache – spécifie le plug-in Apache Certbot Apache qui installera le certificat.
  • --register-unsafely-without-email – permet d'ignorer la création de compte ACME. Vous permet de passer l’étape de création d’un compte ACME.
  • --server – spécifie le serveur ACME qui doit répondre à votre demande. Définissez votre votre URL de répertoire ACME.
  • - d – Nom de domaine complet inclus dans le certificat. Si vous ne le remplissez pas, CertBot vous demandera quels domaines souhaitez-vous inclure selon vos hôtes virtuels que vous avez configurés.

Sélectionnez l'option 1 ou 2 si vous souhaitez rediriger le contenu HTTP vers HTTPS : Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Sélectionnez 1/2 et appuyez sur ENTER. La configuration désactive l’accès HTTP à votre site web et ne sera prise en compte qu'après le redémarrage du serveur. Lorsque vous avez terminé, votre serveur affiche un message de réussite : “Félicitations !! vous avez activé vos domaines avec succès". Le système vous indique également où se trouvent vos certificats : Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Certbot installe également les certificats intermédiaires. Pour vous assurer que le certificat est bien installé et tout fonctionne correctement, utilisez notre vérificateur d'installation des certificats.

Remarques finales

Voici quelques points suivants :

  • ACME n’est compatible qu’avec les certificats OV et EV TLS/SSL
  • Pour que l’émission de certificats ACME instantanée fonctionne, vous devez avoir prévalidé le domaine et l’organisation utilisés dans vos demandes de certificat ACME.
  • Pour les domaines, la pré-validation ("preveting") se fait en deux étapes :
    • 1. DCV : validation de contrôle du domaine (par e-mail, DNS, TXT)
    • 2. Le domaine vérifié est attribué à une entreprise vérifiée qui peut l'utiliser
  • ACME URL s'applique à un produit et à une entreprise spécifiques. Il est probable que vous en aurez besoin plus.
Ce guide a été élaboré pour illustrer la manière dont il faut procéder. Configurez les paramètres en fonction de votre serveur.
Cet article vous a-t-il été utile ?