Ce guide vous guidera tout au long de la configuration de l'installation et du renouvellement automatisés des certificats avec SSL.com pour Apache et Nginx avec le protocole ACME et le client Certbot.
sudo
privilèges sur votre serveur Web pour suivre ces instructions.Vous pouvez utiliser de nombreux autres clients ACME, notamment Gestionnaire de certificats Kubernetes, avec le service ACME de SSL.com.
acme4j le client peut désormais utiliser les services SSL.com ACME sur ce référentiel : https://github.com/SSLcom/acme4j
Veuillez vous référer à la documentation de votre fournisseur de logiciel pour obtenir des instructions concernant les autres clients ACME non Certbot.
Installer Certbot et récupérer les informations d'identification ACME
- SSH dans votre serveur Web.
- Assurez-vous qu'une version actuelle de Certbot, ainsi que les plugins Apache et Nginx, sont installés sur votre serveur Web:
- Si vous avez snapd installé, vous pouvez utiliser cette commande pour l'installation:
sudo snap install --classic certbot
- If
/snap/bin/
n'est pas dans votrePATH
, vous devrez également l'ajouter ou exécuter une commande comme celle-ci:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Si vous avez snapd installé, vous pouvez utiliser cette commande pour l'installation:
- Récupérez vos informations d'identification ACME à partir de votre compte SSL.com:
- Connectez-vous à votre compte SSL.com. Si vous êtes déjà connecté, accédez au Tableau de bord languette.
- Cliquez identifiants api, situé sous développeurs et intégration.
- Vous aurez besoin de votre Compte / Clé ACME et Clé HMAC pour demander des certificats. Cliquez sur l'icône du presse-papiers () à côté de chaque clé pour copier la valeur dans le presse-papiers.
- Connectez-vous à votre compte SSL.com. Si vous êtes déjà connecté, accédez au Tableau de bord languette.
Installation et automatisation d'Apache
Utilisez une commande comme celle-ci pour installer sur Apache. Remplacez les valeurs en MAJUSCULES par vos valeurs réelles:
sudo certbot --apache --email ADRESSE-EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Décomposer la commande:
sudo certbot
exécute lecertbot
commande avec les privilèges de superutilisateur.--apache
spécifie d'installer des certificats à utiliser avec Apache.--email EMAIL-ADDRESS
fournit une adresse e-mail d'inscription. Vous pouvez spécifier plusieurs adresses, séparées par des virgules.--agree-tos
(facultatif) accepte le contrat d'abonnement ACME. Vous pouvez l'omettre si vous souhaitez accepter de manière interactive.--no-eff-email
(facultatif) indique que vous ne souhaitez pas partager votre adresse e-mail avec l'EFF. Si vous l'omettez, vous serez invité à partager votre adresse e-mail.--config-dir /etc/ssl-com
(facultatif) définit le répertoire de configuration.--logs-dir /var/log/ssl-com
(facultatif) définit le répertoire des journaux.--eab-kid ACCOUNT-KEY
spécifie votre clé de compte.--eab-hmac-key HMAC-KEY
spécifie votre clé HMAC.--server https://acme.ssl.com/sslcom-dv-ecc
spécifie le serveur ACME de SSL.com.-d DOMAIN.NAME
spécifie le nom de domaine que le certificat couvrira.
- Changez le
--server
valeur dans la commande dehttps://acme.ssl.com/sslcom-dv-rsa
.
-d DOMAIN.NAME
option plusieurs fois dans votre commande pour ajouter des noms de domaine à votre certificat. Veuillez consulter nos informations sur types de certificats et facturation pour voir comment différentes combinaisons de noms de domaine correspondent à Types de certificats SSL.com et leur prix correspondant.certbot
commande, les informations du compte ACME seront stockées sur votre ordinateur dans le répertoire de configuration (/etc/ssl-com
dans la commande ci-dessus. Sur les futures exécutions de certbot, vous pouvez omettre le --eab-hmac-key
et --eab-kid
options car certbot les ignorera au profit des informations de compte stockées localement.
Si vous devez associer vos commandes de certificats ACME pour l'ordinateur à un autre compte SSL.com, vous devez supprimer ces informations de compte de votre ordinateur avec la commande sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(ou, si vous avez omis l'option --config-dir
option, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Vous devriez voir une sortie comme celle-ci après avoir exécuté la commande:
Enregistrement du journal de débogage dans /var/log/ssl-com/letsencrypt.log Plugins sélectionnés: Authenticator apache, Installer apache Obtention d'un nouveau certificat Réalisation des défis suivants: défi http-01 pour DOMAIN.NAME En attente de vérification ... Nettoyage des défis Création d'un hôte virtuel SSL sur /etc/apache2/sites-available/DOMAIN-le-ssl.conf Déploiement du certificat sur VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Activation du site disponible: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Redirection de vhost dans /etc/apache2/sites-enabled/DOMAIN.NAME.conf vers ssl vhost dans /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Toutes nos félicitations! Vous avez activé https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certbot créera également un fichier crontab comme celui-ci pour le renouvellement automatisé non interactif de tout certificat installé par certbot expirant dans les 30 jours:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: entrées crontab pour le package certbot # # Upstream recommande de tenter de renouveler deux fois par jour # # Finalement, ce sera l'occasion de valider les certificats # havre ' t été révoqué, etc. Le renouvellement n'aura lieu que si le numéro d'expiration est dans les 30 jours. # # Note importante! Ce cronjob ne sera PAS exécuté si vous # exécutez systemd comme système d'initialisation. Si vous exécutez systemd, # la fonction cronjob.timer est prioritaire sur ce cronjob. Pour # plus de détails, consultez la page de manuel systemd.timer ou utilisez systemctl show # certbot.timer. SHELL = / bin / sh CHEMIN = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * test racine -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q renouveler
Installation et automatisation de Nginx
Pour Nginx, remplacez simplement --nginx
en --apache
dans la commande ci-dessus:
sudo certbot --nginx --email ADRESSE-EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
- Changez le
--server
valeur dans la commande dehttps://acme.ssl.com/sslcom-dv-rsa
.
Forcer le renouvellement manuellement
Si vous souhaitez renouveler manuellement un certificat avant l'expiration imminente, utilisez cette commande:
certbot renouveler --force-renouveler --cert-name DOMAIN.NAME
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.