Table des matières

Émettre un certificat numérique gratuit et signé par une Autorité de Certification avec Let's Encrypt

Introduction

Le coût d'achat des certificats numériques et la complexité de l’installation peuvent en freinez certain. Heureusement Une initiative à l'origine de Mozilla, l'EEF et d'autre partenaires à été lancé : le projet Let's Encrypt.

Installation

tip Ce programme dispose désormais d'un paquet dans les backports de Jessie. Cette méthode est donc à préférer à l'installation depuis les sources, qui est à réserver à Debian 7 (Wheezy)

Pour Debian 8 Jessie

Vérifier que votre fichier sources.list dispose du dépôt backports, et ajouté ce dépôt si besoin2).

Installer le paquet

apt-get install -t jessie-backports certbot
Le paquet existe sous 2 nom certbot et letencrypt. Les commandes sont les même ;-)

Pour Debian 7 Wheezy

Sur votre serveur, récupérer le package letsencrypt sur GitHub

apt-get install git
git clone https://github.com/letsencrypt/letsencrypt

Utilisation

Pour Debian 7 Wheezy

cd letsencrypt

Première exécution : Installation des dépendances

./letsencrypt-auto

Ici j'ai choisi comme exemple d’obtenir un certificat letsencrypt pour mon site : monsiteweb.me

./letsencrypt certonly --webroot --webroot-path /var/www/monsiteweb/ --domains monsiteweb.me --agree-tos -text --email Florian@monmail.me

Pour Debian 8 Jessie et installation à partir du paquet des Backports

letsencrypt et certbot sont deux commandes pour un seul programme. Les deux syntaxes peuvent donc être utilisées
letsencrypt certonly --webroot --webroot-path /var/www/monsiteweb/ --domains monsiteweb.me --agree-tos -text --email Florian@monmail.me

ou

certbot certonly --webroot --webroot-path /var/www/monsiteweb/ --domains monsiteweb.me --agree-tos -text --email Florian@monmail.me

Explication de la commande :

Renouvellement

Le paquet pour Jessie met en place une tâche cron dans /etc/cron.d/certbot qui lance automatiquement la commande de renouvellement 2 fois par jour à des heures aléatoires

Les certificats sont valides 90 jours, et un mécanisme permet un renouvellement en quelques commandes.

Vous pouvez tester l'obtention d'un certificat avec

certbot renew --dry-run 

Si tout se passe bien le renouvellement se fait avec

certbot renew --quiet
Si vous automtisez ce renouvellement à l'aide d'une tâche cron ou d'un service systemd, il est recommandé d'effectuer cette vérification 2 fois par jour. Veillez à mettre des minutes aléatoires dans la définition de votre tâche afin de lisser la charge sur les serveurs du projet..

Pour aller plus loin

Le programme dispose de bien d'autres fonctions et options qui sont décrit dans le manuel, et sur le site du projet :-)

Liens utiles

1)
N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !
2)
Toujours réaliser un update après l'ajout d'un dépôt