ACME SSL /TLS Automatisation avec Apache et Nginx

Ce guide vous guidera tout au long de la configuration de l'installation et du renouvellement automatisés des certificats avec SSL.com pour Apache et Nginx avec le protocole ACME et le client Certbot.

Remarque: Vous aurez besoin d'un accès SSH et sudo privilèges sur votre serveur Web pour suivre ces instructions.
Remarque:
Vous pouvez utiliser de nombreux autres clients ACME, notamment Gestionnaire de certificats Kubernetes, avec le service ACME de SSL.com.
acme4j  le client peut désormais utiliser les services SSL.com ACME sur ce référentiel : https://github.com/SSLcom/acme4j
Veuillez vous référer à la documentation de votre fournisseur de logiciel pour obtenir des instructions concernant les autres clients ACME non Certbot.

Installer Certbot et récupérer les informations d'identification ACME

  1. SSH dans votre serveur Web.
  2. Assurez-vous qu'une version actuelle de Certbot, ainsi que les plugins Apache et Nginx, sont installés sur votre serveur Web:
    • Si vous avez snapd installé, vous pouvez utiliser cette commande pour l'installation: 
      sudo snap install --classic certbot
    • If /snap/bin/ n'est pas dans votre PATH, vous devrez également l'ajouter ou exécuter une commande comme celle-ci: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Récupérez vos informations d'identification ACME à partir de votre compte SSL.com:
    1. Connectez-vous à votre compte SSL.com. Si vous êtes déjà connecté, accédez au Tableau de bord languette.
      Tableau de bord
    2. Cliquez identifiants api, situé sous développeurs et intégration.
      Lien des informations d'identification de l'API
    3. Vous aurez besoin de votre Compte / Clé ACME et Clé HMAC pour demander des certificats. Cliquez sur l'icône du presse-papiers () à côté de chaque clé pour copier la valeur dans le presse-papiers.
      Compte / Clé ACME et Clé HMAC
Haut de Page

Installation et automatisation d'Apache

Utilisez une commande comme celle-ci pour installer sur Apache. Remplacez les valeurs en MAJUSCULES par vos valeurs réelles:

sudo certbot --apache --email ADRESSE-EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Décomposer la commande:

  • sudo certbot exécute le certbot commande avec les privilèges de superutilisateur.
  • --apache spécifie d'installer des certificats à utiliser avec Apache.
  • --email EMAIL-ADDRESS fournit une adresse e-mail d'inscription. Vous pouvez spécifier plusieurs adresses, séparées par des virgules.
  • --agree-tos (facultatif) accepte le contrat d'abonnement ACME. Vous pouvez l'omettre si vous souhaitez accepter de manière interactive.
  • --no-eff-email (facultatif) indique que vous ne souhaitez pas partager votre adresse e-mail avec l'EFF. Si vous l'omettez, vous serez invité à partager votre adresse e-mail.
  • --config-dir /etc/ssl-com (facultatif) définit le répertoire de configuration.
  • --logs-dir /var/log/ssl-com (facultatif) définit le répertoire des journaux.
  • --eab-kid ACCOUNT-KEY spécifie votre clé de compte.
  • --eab-hmac-key HMAC-KEY spécifie votre clé HMAC.
  • --server https://acme.ssl.com/sslcom-dv-ecc spécifie le serveur ACME de SSL.com.
  • -d DOMAIN.NAME spécifie le nom de domaine que le certificat couvrira.
Remarque: Certbot 2.0.0 ou plus récent génère par défaut ECDSA pour les nouveaux certificats. La commande ci-dessus concerne une paire de clés ECDSA et un certificat. Pour utiliser les clés RSA à la place :

  • Changez le --server valeur dans la commande de https://acme.ssl.com/sslcom-dv-rsa
Remarque: Vous pouvez utiliser le -d DOMAIN.NAME option plusieurs fois dans votre commande pour ajouter des noms de domaine à votre certificat. Veuillez consulter nos informations sur types de certificats et facturation pour voir comment différentes combinaisons de noms de domaine correspondent à Types de certificats SSL.com et leur prix correspondant.
Lorsque vous exécutez pour la première fois ce qui précède certbot commande, les informations du compte ACME seront stockées sur votre ordinateur dans le répertoire de configuration (/etc/ssl-com dans la commande ci-dessus. Sur les futures exécutions de certbot, vous pouvez omettre le --eab-hmac-key et --eab-kid options car certbot les ignorera au profit des informations de compte stockées localement.

Si vous devez associer vos commandes de certificats ACME pour l'ordinateur à un autre compte SSL.com, vous devez supprimer ces informations de compte de votre ordinateur avec la commande sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (ou, si vous avez omis l'option --config-dir option, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Vous devriez voir une sortie comme celle-ci après avoir exécuté la commande:

Enregistrement du journal de débogage dans /var/log/ssl-com/letsencrypt.log Plugins sélectionnés: Authenticator apache, Installer apache Obtention d'un nouveau certificat Réalisation des défis suivants: défi http-01 pour DOMAIN.NAME En attente de vérification ... Nettoyage des défis Création d'un hôte virtuel SSL sur /etc/apache2/sites-available/DOMAIN-le-ssl.conf Déploiement du certificat sur VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Activation du site disponible: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Redirection de vhost dans /etc/apache2/sites-enabled/DOMAIN.NAME.conf vers ssl vhost dans /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Toutes nos félicitations! Vous avez activé https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Certbot créera également un fichier crontab comme celui-ci pour le renouvellement automatisé non interactif de tout certificat installé par certbot expirant dans les 30 jours:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: entrées crontab pour le package certbot # # Upstream recommande de tenter de renouveler deux fois par jour # # Finalement, ce sera l'occasion de valider les certificats # havre ' t été révoqué, etc. Le renouvellement n'aura lieu que si le numéro d'expiration est dans les 30 jours. # # Note importante! Ce cronjob ne sera PAS exécuté si vous # exécutez systemd comme système d'initialisation. Si vous exécutez systemd, # la fonction cronjob.timer est prioritaire sur ce cronjob. Pour # plus de détails, consultez la page de manuel systemd.timer ou utilisez systemctl show # certbot.timer. SHELL = / bin / sh CHEMIN = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * test racine -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q renouveler
Remarque: Tous SSL /TLS les certificats émis via ACME par SSL.com ont une durée de vie d'un an.
Haut de Page

Installation et automatisation de Nginx

Pour Nginx, remplacez simplement --nginx en --apache dans la commande ci-dessus:

sudo certbot --nginx --email ADRESSE-EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Remarque: Certbot 2.0.0 ou plus récent génère par défaut ECDSA pour les nouveaux certificats. La commande ci-dessus concerne une paire de clés ECDSA et un certificat. Pour utiliser les clés RSA à la place :

  • Changez le --server valeur dans la commande de https://acme.ssl.com/sslcom-dv-rsa
Haut de Page

Forcer le renouvellement manuellement

Si vous souhaitez renouveler manuellement un certificat avant l'expiration imminente, utilisez cette commande:

certbot renouveler --force-renouveler --cert-name DOMAIN.NAME

SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.

COMPARER SSL /TLS CERTIFICATS

Équipe d'assistance SSL.com

Auteur - Administrateur de contenu
Tous Les Articles

Comment Tos

Tout voir Comment Tos
Facebook LinkedIn Twitter Youtube Github

Abonnez-vous à la newsletter SSL.com

Qu'est-ce que SSL /TLS?

Regardez la vidéo

Abonnez-vous à la newsletter de SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage