Linux:Let's Encrypt le certificat ssl gratuit

De Djjnet
Aller à : Navigation, rechercher

letsencrypt

Installation de letsencrypt :

cd /home/djj/
git clone https://github.com/letsencrypt/letsencrypt

1er lancement pour installer les dépendances, on annule l'installation automatique de vhost.

./letsencrypt/letsencrypt-auto 

Demande de certificat, attention, la demande est faite sur le http pour la création ou le renouvellement, il ne faut donc pas de redirection globale vers un sous-dossier https comme par exemple :

RedirectMatch ^.*$ https://webmail.dj-j.net/roundcube/

Letsencrypt aura alors un 302 vers /roundcube et refusera de délivrer le certificat.

Un règle de ce type peut aider :

RewriteRule ^\.well-known/acme-challenge/ - [L]

Préférant gérer moi même le vhost, j'indique le DocumentRoot où placer les fichiers de tests .well-known/acme-challenge/...

On a alors une demande de ce type :

./letsencrypt/letsencrypt-auto certonly --webroot -w /var/djjnet/www/webmail --email webmaster@dj-j.com --agree-tos -d webmail.dj-j.net -d webmail.tchoupoutou.fr

Les certificats arrivent dans /etc/letsencrypt/live/webmail.dj-j.net/.

On peut alors pour apache faire une configuration de ce type :

       SSLEngine on
       SSLProtocol All -SSLv3 -SSLv2
       SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:3DES+EDE+CBC+SHA+aRSA:!RC4:HIGH:!MD5:!aNULL:!eNULL:!LOW:!EDH:!EXP:!PSK:!SRP:!DSS;
       SSLHonorCipherOrder On
       Header add Strict-Transport-Security: "max-age=15768000"
       SSLCertificateFile /etc/letsencrypt/live/webmail.dj-j.net/cert.pem
       SSLCACertificateFile /etc/letsencrypt/live/webmail.dj-j.net/chain.pem
       SSLCertificateKeyFile /etc/letsencrypt/live/webmail.dj-j.net/privkey.pem


Renouvellement, fichier : /etc/cron.monthly/letsencrypt (chmod +x /etc/cron.monthly/letsencrypt)

#!/bin/bash
/home/djj/letsencrypt/letsencrypt-auto certonly --renew-by-default --webroot -w /var/djjnet/www/webmail --email webmaster@dj-j.com --agree-tos -d webmail.dj-j.net -d webmail.tchoupoutou.fr
service apache2 reload


Aide :

/home/djj/letsencrypt/letsencrypt-auto -h all

certbot

Le client officiel a été renommé certbot et disponible à l'adresse : https://certbot.eff.org/, pour jessie, il y a un package, sinon :

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Nouvelle option intéressante pour la tâche de renouvellement : --no-self-upgrade pour désactiver la mise à jour automatique.