Protocole ACME sur Linux pour obtenir un certificat TLS

Ce guide vous permet de comprendre comment utiliser l'outil automatisée Certbot pour la gestion et l'émission des certificats sur le serveur Linux. Nous décrivons la procédure pour le serveur Apache, mais Certbot peut être utilisé également pour Nginx, Haproxy et Plesk. Il s'agit d'un logiciel librement accessible.

Avant de commencer

Avant de commencer, le client doit s'adresser à notre conseiller clientèle pour effectuer une préparation individuelle simple.

  • Tout d'abord, l'organisation et les domaines doivent être validés de sorte qu’ils soient prêts pour l'émission instantanée. Dans cette étape, la coopération avec le support de SSLmarket est nécessaire.
  • Une fois la vérification terminée, nous générons une ACME Directory URL unique auprès de l'autorité de certification. Votre client (CertBot) utilisera cette URL ACME dans la commande de certificat.
  • ACME Directory URL est unique pour chaque client et produit. Il est impossible d'utiliser une URL pour plusieurs clients.

Installation du Certbot sur le serveur :

Installez le Certbot sur votre serveur, nous vous recommandons d'installer des modules en fonction du type de serveur. Les modules facilitent ensuite la sélection du site cible pour l'installation du certificat et peuvent travailler directement avec la configuration du serveur (ce qui vous permet de simplifier l'installation).

Astuce : Visitez le site officiel du Certbot, où vous pouvez choisir le système d'exploitation du serveur et trouver la procédure d'installation étape par étape.

Émettre et installer le certificat

À l'invite du terminal, demandez un certificat à l’aide de ligne de commande ci-dessous :
sudo certbot --apache --register-unsafely-without-email --server “Votre ACME Directory URL” -d www.votredomaine.fr -d votredomaine.fr
Options ACME :

  • Certbot – démarre Certbot
  • --apache – spécifie le plugin Apache Certbot qui installera votre certificat.
  • --register-unsafely-without-email – permet d'ignorer la création de compte ACME.
  • --server – spécifie quel serveur ACME doit répondre à votre demande. II définit ACME Directory URL.
  • - d – Nom de domaine complet inclus dans le certificat. Si vous ne remplissez pas cette option, CertBot vous demandera quels domaines souhaitez-vous inclure en fonction de vos hôtes virtuels configurés.

Sélectionnez l'option 1 ou 2 si vous souhaitez rediriger le contenu HTTP vers HTTPS : Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Sélectionnez 1/2 et appuyez sur ENTER. La configuration choisie ne sera prise en compte qu'après le redémarrage du serveur. Ensuite vous recevrez une message que le processus s'est terminé avec succès. Le système vous indique également ou se trouvent vos certificats : Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Certbot installe également les certificats intermédiaires. Pour vous assurer que le certificat est bien installé et tout fonctionne correctement, utilisez notre vérificateur d'installation des certificats.

Remarques finales

Pour l'émission automatisée des certificats, il existe quelques règles. Faites attention aux points suivants :

  • Le protocole ACME est conçu pour commander des certificats SSL/TLS OV et EV ; et non pour les certificats à validation de domaine
  • Pour que l'émission instantanée de certificat fonctionne, vous devez pré-valider le domaine et l'organisation inclus dans votre demande de certificat ACME
  • Pour les domaines, la vérification ("preveting") se fait en deux étapes:
    • 1. DCV : validation de contrôle du domaine (par e-mail, DNS, TXT)
    • 2. Le domaine vérifié est attribué à l'entreprise vérifiée qui peut commencer à l'utiliser
  • ACME URL s'applique à un produit et à une entreprise spécifiques, peut-être vous en aurez besoin de plus.
Ce guide a été élaboré pour illustrer la manière dont il faut procéder. Configurez les paramètres en fonction de votre serveur.